PDA

Bekijk Volledige Versie : KISS firewall met IPv6 support



DutchTSE
16/05/10, 11:17
Al tijden geleden bleek ik KISS firewall voor DirectAdmin te hebben omgebouwd zodat hij ook IPv6 support had. Aangezien de IPv6 implementatie in DirectAdmin er bijna aan zit te komen leek me het een mooie gedachte om ook de firewall met jullie te delen.

Deze versie van KISS ondersteund de normale IPv4 werking maar "kopieert" diezelfde werking naar IPv6 (op wat regeltjes na die ip6tables niet ondersteund). Mensen met alleen IPv4 kunnen deze versie ook gebruiken maar dienen dan in het bestand het volgende te veranderen:

# Choose if we disabled the IPv6 rules or not
IPV6=1

naar

# Choose if we disabled the IPv6 rules or not
IPV6=0

Installatiehandleiding:
Download: http://www.myh2oservers.com/downloads/ipv6_kiss
Download+Install:


cd /usr/local/sbin/
wget http://www.myh2oservers.com/downloads/ipv6_kiss
mv ipv6_kiss kiss
chmod 0700 kiss
echo "/usr/local/sbin/kiss start" >> /etc/rc.d/rc.local
/usr/local/sbin/kiss start


Disclaimer:
Uiteraard is het jullie eigen verantwoordelijkheid om dit te gebruiken, het risico is dus ook voor jullie zelf. :D

Mochten jullie nog iets van een bug vinden dan hoor ik dat graag zodat dit verbeterd kan worden. Eventuele toevoegingen zijn ook zeer welkom! Bij ons draait deze versie inmiddels op meerdere servers zonder problemen.

daveww
19/05/10, 14:42
Ziet er goed/leuk uit, toch maken wij gebruik met trots gebruik van CSF/LFD. Mochten we ooit een andere nodig hebben zullen we kijken naar KISS

DutchTSE
19/05/10, 15:24
Ziet er goed/leuk uit, toch maken wij gebruik met trots gebruik van CSF/LFD. Mochten we ooit een andere nodig hebben zullen we kijken naar KISS

Bedankt!, maar ondersteund CSF/LFD ook IPv6 firewalling dan?

daveww
19/05/10, 15:51
Bedankt!, maar ondersteund CSF/LFD ook IPv6 firewalling dan?Ja, het is wel momenteel nog in beta.


# IPv6: BETA (Requires ip6tables)
#
# Pre v2.6.20 kernels do not perform stateful connection tracking, so a static
# firewall is configured as a fallback instead if IPV6_SPI is set to 0 below
#
# Supported:
# Temporary ACCEPT/DENY, GLOBAL_DENY, GLOBAL_ALLOW, SMTP_BLOCK, LF_PERMBLOCK,
# PACKET_FILTER, WATCH_MODE, Advanced Allow/Deny Filters, RELAY_*, CLUSTER_*
#
# SMTP_BLOCK is only applied if port 25 is included in TCP6_OUT
#
# Not supported:
# DYNDNS, CC_DENY, CC_ALLOW, CC_ALLOW_FILTER, LF_DSHIELD, LF_SPAMHAUS,
# SYNFLOOD, PORTFLOOD, DYNDNS, ICMP_IN, ICMP_OUT, LF_NETBLOCK, MESSENGER
#
# Partially supported:
# CC_LOOKUP - reverse DNS only and requires the perl module Socket6 from cpan
#
# MESSENGER service - not supported: no REDIRECT support in ip6tables as yet
#
Tevens als je gebruikt maakt van DA: Standaard zodra je CSF/LFD installeert komt er een optie bij in DA (onderaan) waar je ook vanuit DA, CSF/LFD kunt beheren.

DutchTSE
19/05/10, 15:54
Ja, het is wel momenteel nog in beta.

Tevens als je gebruikt maakt van DA: Standaard zodra je CSF/LFD installeert komt er een optie bij in DA (onderaan) waar je ook vanuit DA, CSF/LFD kunt beheren.
Ja klopt, gebruik op een aantal servers Kiss en op een aantal servers CSF. Gebruik Kiss meer als "frontend" voor iptables, gewoon om het mezelf wat makkelijker te maken.