[fli4l] ICMP
Christoph Schulz
fli4l at kristov.de
Mi Mai 2 23:23:45 CEST 2012
Hallo!
Am 02.05.2012 22:52, schrieb Oma Voss:
> Hallo alle,
> habe gegoogelt und diverse Howtos gelesen, nun schwirrt mir der Kopf.
>
> Nachdem hier der IPv6-Tunnel zu HE gelegentlich abschmiert, also
> instabil ist, wil ich prüfen, ob ICMP in meinem Fli4l definitiv
> eingeschaltet ist. Nur finde ich die richtige Zeile in der base.txt
> Firewall nicht. Von außen kommt vom Tunnel-Endpunkt ein ICMP-Request,
> der FLI soll die Anfrage beantworten.
Frage: Ist es ein ICMP_v4_- oder ein ICMP_v6_-Paket?
SixXS z.B. verschickt _im IPv6-Tunnel_ ICMPv6-Pakete, auf die
geantwortet werden muss. Somit wird überprüft, ob die lokale
IPv6-Gegenstelle funktioniert. ICMPv6-Regeln müssen dann natürlich in
der ipv6.txt konfiguriert werden. Wenn das bei HE ebenfalls der Fall
ist, dann muss das ergänzt werden. Siehe
etc/rc.d/ipv6-tunnel-provider/sixxs.sh:
if [ "$PF6_INPUT_ACCEPT_DEF" = 'yes' ]
then
# allow ping packets from the tunnel peer
cat <<- EOF > /etc/rc.d/fwrules.ipv6.post.sixxs
add_rule6 filter in-icmp
"prot:icmpv6:echo-request [$remotev6] ACCEPT" PF6_INPUT_ACCEPT_DEF
EOF
fi
Einen entsprechenden Abschnitt müsste man dann in he.sh ergänzen, etwa so:
if [ "$PF6_INPUT_ACCEPT_DEF" = 'yes' ]
then
# allow ping packets from the tunnel peer
cat <<- EOF > /etc/rc.d/fwrules.ipv6.post.he
add_rule6 filter in-icmp
"prot:icmpv6:echo-request [$remotev6] ACCEPT" PF6_INPUT_ACCEPT_DEF
EOF
fi
Magst du mal ausprobieren, ob's dann besser läuft?
Viele Grüße,
Christoph
Mehr Informationen über die Mailingliste Fli4L