[Fli4l_dev] FFL-1198: Forward von ICMPv6 und Provozieren von ICMP-Fehlern

Alexander Dahl lespocky at web.de
Do Nov 9 12:12:56 CET 2017


Hallo zusammen,

ich häng seit März an einem 1&1 VDSL 50 mit Full Dual Stack, Modem und
VoIP macht die Fritz!Box vom Provider, mein fli4l-Router hängt als
ethernet Router dahinter und hinterm fli4l ist mein lokales Netz. Für
IPv4 hab ich den fli4l als exposed host in der Fritz!Box konfiguriert,
für IPv6 delegiert die Fritz!Box ein /62 von dem /56, das sie vom
Provider bekommt. Der fli4l nutzt DHCPv6 für den IPv6 circuit.
Funktioniert zunächst scheinbar gut. Mit eininigen Seiten und Diensten
gibt es aber Probleme, Stichwort ICMPv6 und bspw. path mtu discovery.

Ich hab mir dann RFC 4890 durchgelesen. Nach meinem Verständnis muss man
ICMPv6 Typ 1 bis 4 als Router auf jeden Fall durchlassen. Im Paketfilter
heißt das, dass wir nicht nur wie in der default chain für INPUT die
zulassen. Ich wollte die jetzt erstmal bei mir in die FORWARD rules mit
reinnehmen, stieß dann aber zunächst mal auf das Problem, dass die
checks als ICMP Typ hier nur "echo-request" und "echo-response"
zulassen und landete dann bei FFL-1198.

So jetzt zu meinen Fragen:

* kristov schlug vor die default forward Regeln zu ergänzen. Das wäre
auch mein Gedanke. Spricht da irgendwas dagegen?

* Welche ICMP Typen sollen denn dann genau in die default forward rules
rein? Nur 1 bis 4, oder auch noch 128/129 (echo-request und
echo-response), so wie es die RFC empfiehlt?

* Ich würde gern für zusätzliche Flexibilität den Check ergänzen. Die
Liste der möglichen Argumente für iptables kann mit iptables selbst
abgerufen werden. Sollen hier nur die namentlichen erlaubt sein, oder
auch numerische? Alle von iptables unterstützten oder nur einige?
Namentlich und numerische (und kann man das in dem Check überhaupt?)

* Wie teste ich das dann? Gestern ist es mir spontan nicht gelungen
solche Nachrichten zu generieren, so dass sie direkt auf dem Router
landen, da würde ich sie im webgui in der entsprechenden input chain ja
sehen.

* Kann es sein, dass solche Nachrichten, wenn sie direkt als Antwort auf
ein anderes ICMP-Telegramm kommen, bereits durchgelassen werden (weil
sie zu einer bestehenden Verbindung gehören)? Ich denke Antworten vom
Typ 1 hab ich gestern von der Fritzbox bekommen, die hätte der
Paketfilter des fli4l doch eigentlich blocken müssen?

Soweit erstmal, bitte um Input. ;-)

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF  08FA 34AD CD00 7221 5CC6


Mehr Informationen über die Mailingliste Fli4l_dev