[Fli4l_dev] IPv6 Firewall

[Christoph Schulz]

Hallo!

Matthias Taube schrieb:

> Ich habe dazu die Regeln:
> 
>> PF6_FORWARD_1='tmpl:samba if:any:IPV6_TUNNEL_1_DEV DROP NOLOG'
>> PF6_FORWARD_2='if:any:IPV6_TUNNEL_1_DEV any [any]:2049 DROP BIDIRECTIONAL
>> NOLOG'
> 
> als erste Regeln in der Firewall angezeigt.
> 
> Daraus wird auf dem fli4l:
> 
>> Chain FORWARD-middle (1 references)
>>  pkts bytes target     prot opt in     out     source              
>>  destination
>>     0     0 ACCEPT     all      *      *       ::1                 !::1
>>     0     0 ACCEPT     all      *      *       ::1                 !::1
>>     0     0 ACCEPT     all      *      *       ::1                 !::1
>>     0     0 ACCEPT     all      *      *       ::1                 !::1

Das sind spezielle Platzhalter-Regeln. Diese habe keine Wirkung und werden 
immer dann eingefügt, wenn die Regel als Ganzes nicht installiert werden 
kann, weil Informationen fehlen. In deinem Falle ist der Tunnel zum 
Zeitpunkt der Regelerstellung noch nicht aktiv. Sobald der Tunnel aktiv ist 
(d.h. der Tunnel-Circuit online), werden die Regeln durch "vernünftige" 
Regeln ersetzt.

Das "Phänomen" ist nicht IPv6-spezifisch; einen ähnlichen Effekt erreichst 
du etwa, wenn du in einer Regel eine IP_NET-Adresse erwähnst, die von einem 
DHCP-Server zugewiesen wird.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]