Onderwerp: CSF blokkeert IPv6 verkeer

Wanneer CSF actief is, dan blokkeert deze al het ipv6 verkeer.
Het maakt dan niet uit of IPv6 in CSF configureerd is of niet.

Zodra ik CSF uitschakel werkt het wel prima.

De laatste versie van CSF is geinstalleerd.

Hebben meerdere mensen hier last van?

[ame="http://forum.configserver.com/showthread.php?t=3662"]CSF blocks all IPv6 traffic? - ConfigServer Scripts Forum[/ame]

Ik heb hier nog niet echt naar gekeken, maar bij het weghalen van wat regeltje en INPUT+OUTPUT op ACCEPT te zetten werkte het wel (alleen in combinatie met een aantal dingen), helaas had ik geen tijd meer om verder hier naar te kijken maar de ip6tables rules werken blokkerend helaas.

Als je INPUT+OUTPUT op ACCEPT zet werkt het trouwens nog niet, als je verder test kan je misschien er achter komen wat het werkelijk blokkeerd.

Edit: Debug output:

Code:

debug[473]: Command:/sbin/ip6tables -v -N LOGDROPIN
debug[474]: Command:/sbin/ip6tables -v -N LOGDROPOUT
debug[475]: Command:/sbin/ip6tables -v -N LOCALINPUT
debug[476]: Command:/sbin/ip6tables -v -N LOCALOUTPUT
debug[518]: Command:/sbin/ip6tables -v -A LOGDROPIN -j DROP
debug[519]: Command:/sbin/ip6tables -v -A LOGDROPOUT -j DROP
debug[1825]: Command:/sbin/ip6tables -v -A LOCALINPUT -i ! lo -s 2001:07b8:0003:001f:0000:0002:0053:0001 -j DROP
debug[1826]: Command:/sbin/ip6tables -v -A LOCALOUTPUT -o ! lo -d 2001:07b8:0003:001f:0000:0002:0053:0001 -j DROP
debug[1825]: Command:/sbin/ip6tables -v -A LOCALINPUT -i ! lo -s 2001:07b8:0003:001f:0000:0002:0053:0002 -j DROP
debug[1826]: Command:/sbin/ip6tables -v -A LOCALOUTPUT -o ! lo -d 2001:07b8:0003:001f:0000:0002:0053:0002 -j DROP
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 20 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 21 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 22 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 25 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 53 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 80 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 110 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 143 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 443 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 465 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 587 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 993 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 995 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 2222 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 64758 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 389 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 3306 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 81 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 82 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 873 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 4949 -j ACCEPT
debug[1443]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p tcp --dport 7800 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 20 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 21 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 22 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 25 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 53 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 80 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 110 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 113 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 443 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 2222 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 64758 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 389 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 3306 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 465 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 81 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 82 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 873 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 4949 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 7800 -j ACCEPT
debug[1464]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p tcp --dport 43 -j ACCEPT
debug[1485]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p udp --dport 20 -j ACCEPT
debug[1485]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p udp --dport 21 -j ACCEPT
debug[1485]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p udp --dport 53 -j ACCEPT
debug[1485]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p udp --dport 389 -j ACCEPT
debug[1485]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -p udp --dport 3306 -j ACCEPT
debug[1506]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p udp --dport 20 -j ACCEPT
debug[1506]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p udp --dport 21 -j ACCEPT
debug[1506]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p udp --dport 53 -j ACCEPT
debug[1506]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p udp --dport 113 -j ACCEPT
debug[1506]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p udp --dport 123 -j ACCEPT
debug[1506]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p udp --dport 389 -j ACCEPT
debug[1506]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -p udp --dport 3306 -j ACCEPT
debug[1549]: Command:/sbin/ip6tables -v  -A INPUT -i ! lo -p icmpv6 -j ACCEPT
debug[1552]: Command:/sbin/ip6tables -v  -A OUTPUT -o ! lo -p icmpv6 -j ACCEPT
debug[551]: Command:/sbin/ip6tables -v -I OUTPUT -o ! lo -p udp --sport 53 -j ACCEPT
debug[552]: Command:/sbin/ip6tables -v -I OUTPUT -o ! lo -p tcp --sport 53 -j ACCEPT
debug[553]: Command:/sbin/ip6tables -v -I OUTPUT -o ! lo -p udp --dport 53 -j ACCEPT
debug[554]: Command:/sbin/ip6tables -v -I OUTPUT -o ! lo -p tcp --dport 53 -j ACCEPT
debug[563]: Command:/sbin/ip6tables -v -I INPUT  -i lo -j ACCEPT
debug[564]: Command:/sbin/ip6tables -v -I OUTPUT -o lo -j ACCEPT
debug[565]: Command:/sbin/ip6tables -v -A OUTPUT -o ! lo -j LOGDROPOUT
debug[566]: Command:/sbin/ip6tables -v -A INPUT -i ! lo -j LOGDROPIN
debug[577]: Command:/sbin/ip6tables -v -I OUTPUT -p tcp --dport 25 -j DROP
debug[578]: Command:/sbin/ip6tables -v -I OUTPUT -p tcp --dport 25 -m owner --uid-owner 0 -j ACCEPT
debug[596]: Command:/sbin/ip6tables -v -I OUTPUT -p tcp --dport 25 -m owner --gid-owner 12 -j ACCEPT
debug[625]: Command:/sbin/ip6tables -v -I OUTPUT -o ! lo -j LOCALOUTPUT
debug[626]: Command:/sbin/ip6tables -v -I INPUT -i ! lo -j LOCALINPUT
debug[649]: Command:/sbin/ip6tables -v --policy INPUT   DROP
debug[650]: Command:/sbin/ip6tables -v --policy OUTPUT  DROP
debug[651]: Command:/sbin/ip6tables -v --policy FORWARD DROP

Misschien dat je hier wat mee kan, er zit ook wat iptables regels in maar daar moet je maar overheen lezen

Ah, bekend probleem dus...
Zal er wel eens induiken, maar neem aan dat ze bij CSF ook wel met een oplossing komen.

Pssst: http://www.webhostingtalk.nl/ipv6/16...6-support.html (KISS firewall met IPv6 support)

Ik heb geen ervaring met CSF, maar Shorewall6 draait perfect met IPv6.

Maar goed, het is maar wat je gewend bent

Oorspronkelijk geplaatst door Rob77

Ik heb geen ervaring met CSF, maar Shorewall6 draait perfect met IPv6.

Maar goed, het is maar wat je gewend bent

Beiden zijn maar een Wrapper om IPtables. Hte lijkt me dus een fout van CSF zelf.

De oplossing:

This is happening because ip6tables on the older kernels doesn't perform connection tracking and so ESTABLISHED,RELATED connections don't work eventhough applications such as Apache are trying to use them. On the kernels that don't support connection tracking you will likely have to open up all outgoing ports (depending on the applications that you want to use through IPv6) i.e.:

TCP6_OUT = "0:65535"
UDP6_OUT = "0:65535"

We'll update the documentation to make this clear. If you're using a kernel that does support connection tracking, this should not be an issue.

'k had eerder al alle toegelaten inkomende poorten ook outgoing opengezet, maar dat bleek nog steeds niet te werken,

'k heb nu aangepast :
TCP6_OUT = "0:65535"
(nog niet voor UDP)

Dat blijkt te werken.

Wel niet de meest veilig/stricte oplossing voor de firewall policy

Iemand een idee wanneer een update komt voor de XEN pre 2.6.20 kernel?

Er is een update voor CSF. Wellicht dat dat helpt?

12 Jul 10: New csf v5.09

...
* Fixed ip6tables IPV6_SPI check warning for older kernels
* Added instruction to open outgoing TCP6 and UDP6 ports when using an older kernel for ip6tables
* IPv6 Final (no longer Beta)
...

Oorspronkelijk geplaatst door dreamhost_nl

Er is een update voor CSF. Wellicht dat dat helpt?

Nee, je dient nog steeds de poorten TCP6_OUT = "0:65535" en UDP6_OUT = "0:65535" open te zetten op pre 2.6.20 kernels. Staat ook in de changelog

Oorspronkelijk geplaatst door dreamhost_nl

Er is een update voor CSF. Wellicht dat dat helpt?

Nee daar is enkel de waarschuwing toegevoegd. Hij heeft wel gelijk aangezien het pas werkt als je de policy op ACCEPT zet, waar niemand wat aan heeft natuurlijk
Een kernel met xt_conntrack geschikt voor IPv6 is toch echt nodig.

Zie ik nog wat over het hoofd? Ik heb zoals in dit topic genoemt en ook in CSF staat, de uitgaande poorten opengezet 0:65535 maar een simpele traceroute6 werkt dan nog niet.

Als ik CSF uitzet werkt het perfect. Heb ik iets over het hoofd gezien?

Heb je al contact opgenomen met iemand van ConfigServer/Way to the Web? Er is een heel forum waar je je ei kwijt kunt...

Oorspronkelijk geplaatst door dreamhost_nl

Heb je al contact opgenomen met iemand van ConfigServer/Way to the Web? Er is een heel forum waar je je ei kwijt kunt...

Beetje vreemde opmerking. Aangezien hier een paar problemen hebben ondervonden en het nu werkend hebben, kan het zijn dat ik iets over het hoofd gezien heb.

Dus hier is een goede plek om het te vragen, aangezien dit topic erover gaat.

Oorspronkelijk geplaatst door Spyder01

Zie ik nog wat over het hoofd? Ik heb zoals in dit topic genoemt en ook in CSF staat, de uitgaande poorten opengezet 0:65535 maar een simpele traceroute6 werkt dan nog niet.

Als ik CSF uitzet werkt het perfect. Heb ik iets over het hoofd gezien?

Oorspronkelijk geplaatst door Spyder01

...en het nu werkend hebben...

Uit je vorige post lijkt het anders alsof het nog steeds niet werkt voor je en niet dat het al werkend is. Lijkt me dan geheel niet zo vreemd om met de auteurs in conclaaf te gaan of even te kijken op het CSF forum. Wellicht dat er meer zijn met identieke problemen?