PDA

Bekijk Volledige Versie : IPtables naar ip6tables porteren werkt niet



SebastiaanStok
26/08/09, 16:09
Nu ik eindelijk IPv6 connectiviteit heb word het ook tijd voor de firewall in te schakelen :)

Ik dacht gewoon regels één op één over te kunnen nemen.
Niet dus... nat is niet meer ondersteund (oke), en state ook niet meer (is dit nodig in IPv6?) en -p icmp (geen idee wat dat is.

Door deze regels weg te halen doet hij het, alleen weet ik niet of alles dan goed werkt :bored:

En 'nat' gebruikte ik voor een port forwarding van de SMTP.

Edit: Oke icmp is nu dus icmpv6

Japje
26/08/09, 16:19
Nu ik eindelijk IPv6 connectiviteit heb word het ook tijd voor de firewall in te schakelen :)

Ik dacht gewoon regels één op één over te kunnen nemen.
Niet dus... nat is niet meer ondersteund (oke), en state ook niet meer (is dit nodig in IPv6?) en -p icmp (geen idee wat dat is.

Door deze regels weg te halen doet hij het, alleen weet ik niet of alles dan goed werkt :bored:

En 'nat' gebruikte ik voor een port forwarding van de SMTP.

Edit: Oke icmp is nu dus icmpv6

idd icmpv6, en state is er nog steeds :) en die nat heb je niet nodig... doet je SMPT ook ipv6? is dat een losse bak? cq.. wat is je setup ;)

SebastiaanStok
26/08/09, 16:38
SMTP staat op de zelfde server :)
Is om port 587 door te sturen naar 25.
Maar stond in de nat sectie, anders accepteerde hij hem niet.

'state' werd niet door de restore geaccepteerd .
"ip6tables-restore v1.3.3: Couldn't load match `state':/lib/iptables/libip6t_state.so: cannot open shared object file: No such file or directory"

Eigenlijk moet ik me nog verdiepen in iptables en hoe alles werkt, maar dan moet ik wel tijd hebben. Een boek is altijd de beste optie, omdat je dan alles van voor naar achter weet :sweatdrop:

dicktump
04/09/09, 11:57
Welke kernel versie draai je? Want de wat oudere kernels hebben nog geen stateful firewalling voor IPv6.

Mijn ervaring is dat je met de nieuwere kernels de rules bijna 1:1 kunt overnemen voor de gemiddelde firewall op een server. Je moet alleen IPv4 adressen vervangen door IPv6 exemplaren en inderdaad icmpv6 gebruiken ipv icmp.

SebastiaanStok
04/09/09, 12:12
OS : Ubuntu Dapper 6.06
Kernel : Linux 2.6.15-54-server #1 SMP Tue Aug 18 17:32:23 UTC 2009 i686 GNU/Linux
Ip6tables : v1.3.3

OS versie is verouderd, ik weet het.
Maar een groot gedeelte is hand gecompileerd :o en kan voor zover bekend niet één op één worden overgezet. Ik zal in het weekend is kijken of Virtuebox nu wel werkt...

dicktump
04/09/09, 12:34
2.6.15 is sowieso te oud voor een stateful IPv6 firewall. Ik geloof dat het er vanaf 2.6.20 ofzo in zit.

SebastiaanStok
06/09/09, 16:56
Nu had ik hem aan de praat gekregen, gisteren de interface opnieuw geladen dus moesten de regels opnieuw worden toegekend.

En vreemd genoeg accepteert hij hem nu niet meer :thumbdown:

Hij zeurt om een bepaalde regel
Als ik die verwijder begint hij klagen te klagen dat hij iets mist!



# Generated by iptables-save v1.3.3 on Fri Sep 21 14:58:00 2007
# SMTP Port forwarding
#-A PREROUTING -p tcp --dport 587 -j REDIRECT --to-ports 25
#COMMIT
# Completed on Fri Sep 21 14:58:00 2007
# Generated by iptables-save v1.3.3 on Fri Sep 21 14:58:00 2007
*mangle
:PREROUTING ACCEPT [125:14142]
:INPUT ACCEPT [69:9464]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [69:12500]
:POSTROUTING ACCEPT [69:12500]
COMMIT
# Completed on Fri Sep 21 14:58:00 2007
# Generated by iptables-save v1.3.3 on Fri Sep 21 14:58:00 2007
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Accept traffic from internal interfaces
-A INPUT ! -i eth0 -j ACCEPT
# Accept traffic with the ACK flag set
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established
#-A INPUT -m state --state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections
#-A INPUT -m state --state RELATED -j ACCEPT
# Accept responses to DNS queries
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
# Accept responses to our pings
-A INPUT -p icmpv6 -m icmpv6 --icmpv6-type echo-reply -j ACCEPT
# Accept notifications of unreachable hosts
-A INPUT -p icmpv6 -m icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
# Accept notifications to reduce sending speed
#-A INPUT -p icmpv6 -m icmpv6 --icmpv6-type source-quench -j ACCEPT
# Accept notifications of lost packets
-A INPUT -p icmpv6 -m icmpv6 --icmpv6-type time-exceeded -j ACCEPT
# Accept notifications of protocol problems
-A INPUT -p icmpv6 -m icmpv6 --icmpv6-type parameter-problem -j ACCEPT
# Allow connections to our IDENT server
-A INPUT -p tcp -m tcp --dport auth -j ACCEPT
# Respond to pings
-A INPUT -p icmp -m icmpv6 --icmpv6-type echo-request -j ACCEPT
# Protect our NFS server
-A INPUT -p tcp -m tcp --dport 2049:2050 -j DROP
# Protect our X11 display server
-A INPUT -p tcp -m tcp --dport 6000:6063 -j DROP
# Protect our X font server
-A INPUT -p tcp -m tcp --dport 7000:7010 -j DROP
# Allow connections to unprivileged ports
-A INPUT -p tcp -m tcp --dport 21:65535 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 9891 -j ACCEPT
COMMIT


Ik zie verder geen fouten of iets, hij zeurt om de laatste regel 'COMMIT'.
Maar als die ik verwijder krijg ik de melding dat hij COMMIT verwacht
:mad:

Inmiddels heb ik in Virtualbox aan de praat gekregen.
Dus ga ik zo spoedig mogelijk testen met een dist-upgrade.