[Fli4l_dev] IPv6 Firewall-Fragen

Matthias Taube no_html.max50kb at nurfuerspam.de
Fr Apr 1 20:27:43 CEST 2016


Hi,

nachdem Dank Christoph nun bei mir IPv6 von der Telekom auf dem Router 
läuft, habe ich noch ein paar Firewall-Fragen.

IPv6 ist auf dem externen (ppp) und den internen Interfaces konfiguriert:
> 4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
>     inet6 2003:77:6a5a:8722::1/64 scope global dynamic
> 6: eth0.100 at eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
>     inet6 2003:77:6a5a:8701::1/64 scope global dynamic
> 7: eth0.200 at eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
>     inet6 2003:77:6a5a:8727::1/64 scope global dynamic
> 11: ppp1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 state UNKNOWN qlen 3
>     inet6 2003:77:6a7f:da7d::1/64 scope global mngtmpaddr dynamic

und auch von außen mit ping6 erreichbar, allerdings hat die 
ppp1-Schnittstelle keine IPv6 Adresse aus meinem per dhcpv6 bezogenen 
Prefix.

1. Erwischt nun eine Regel wie
> PF6_FORWARD_2='if:any:{dhcpv6} any [any]:2049 DROP BIDIRECTIONAL NOLOG'
(bzw. die vergleichbare INPUT Regel) auch den Verkehr, welcher über die 
ppp1 Schnittstelle an die Adresse außerhalb des dhcpv6-Prefix geht?

2. Welche Adresse soll ich nun im Nameserver für meine Domain eintragen 
- eine Adresse aus dem bezogenen Prefix (z.B. von eth0.100) oder die 
Adresse des ppp1 - Device?

3. Wie kann ich die IPv6 Adresse in Scripten auf dem fli4l abfragen? Für 
IPv4 gibt es den schönen Einzeiler
> my_ipv4=`ip -4 a s ppp1 | sed -ne 's/^[[:space:]]*inet[[:space:]]\([0-9\.]*\).*/\1/p'`

gibt es eine ähnliche Zeile für IPv6 oder kann ich die Adresse woanders 
auf dem fli4l beziehen?

LG
Matthias


Mehr Informationen über die Mailingliste Fli4l_dev