Likes: 0
26/08/09 15:09
IPtables naar ip6tables porteren werkt niet
Nu ik eindelijk IPv6 connectiviteit heb word het ook tijd voor de firewall in te schakelen
Ik dacht gewoon regels één op één over te kunnen nemen.
Niet dus... nat is niet meer ondersteund (oke), en state ook niet meer (is dit nodig in IPv6?) en -p icmp (geen idee wat dat is.
Door deze regels weg te halen doet hij het, alleen weet ik niet of alles dan goed werkt
En 'nat' gebruikte ik voor een port forwarding van de SMTP.
Edit: Oke icmp is nu dus icmpv6
Laatst gewijzigd door SebastiaanStok; 26/08/09 om 15:16.
Park The Hosting Manager - your friend in hosting software
26/08/09 15:19
idd icmpv6, en state is er nog steedsOorspronkelijk geplaatst door Rollerscapes
Nu ik eindelijk IPv6 connectiviteit heb word het ook tijd voor de firewall in te schakelen
Ik dacht gewoon regels één op één over te kunnen nemen.
Niet dus... nat is niet meer ondersteund (oke), en state ook niet meer (is dit nodig in IPv6?) en -p icmp (geen idee wat dat is.
Door deze regels weg te halen doet hij het, alleen weet ik niet of alles dan goed werkt
En 'nat' gebruikte ik voor een port forwarding van de SMTP.
Edit: Oke icmp is nu dus icmpv6
26/08/09 15:38
SMTP staat op de zelfde server
Is om port 587 door te sturen naar 25.
Maar stond in de nat sectie, anders accepteerde hij hem niet.
'state' werd niet door de restore geaccepteerd .
"ip6tables-restore v1.3.3: Couldn't load match `state':/lib/iptables/libip6t_state.so: cannot open shared object file: No such file or directory"
Eigenlijk moet ik me nog verdiepen in iptables en hoe alles werkt, maar dan moet ik wel tijd hebben. Een boek is altijd de beste optie, omdat je dan alles van voor naar achter weet
Park The Hosting Manager - your friend in hosting software
04/09/09 10:57
Welke kernel versie draai je? Want de wat oudere kernels hebben nog geen stateful firewalling voor IPv6.
Mijn ervaring is dat je met de nieuwere kernels de rules bijna 1:1 kunt overnemen voor de gemiddelde firewall op een server. Je moet alleen IPv4 adressen vervangen door IPv6 exemplaren en inderdaad icmpv6 gebruiken ipv icmp.
04/09/09 11:12
OS : Ubuntu Dapper 6.06
Kernel : Linux 2.6.15-54-server #1 SMP Tue Aug 18 17:32:23 UTC 2009 i686 GNU/Linux
Ip6tables : v1.3.3
OS versie is verouderd, ik weet het.
Maar een groot gedeelte is hand gecompileerden kan voor zover bekend niet één op één worden overgezet. Ik zal in het weekend is kijken of Virtuebox nu wel werkt...
Park The Hosting Manager - your friend in hosting software
04/09/09 11:34
2.6.15 is sowieso te oud voor een stateful IPv6 firewall. Ik geloof dat het er vanaf 2.6.20 ofzo in zit.
06/09/09 15:56
Nu had ik hem aan de praat gekregen, gisteren de interface opnieuw geladen dus moesten de regels opnieuw worden toegekend.
En vreemd genoeg accepteert hij hem nu niet meer
Hij zeurt om een bepaalde regel
Als ik die verwijder begint hij klagen te klagen dat hij iets mist!
Ik zie verder geen fouten of iets, hij zeurt om de laatste regel 'COMMIT'.Code:# Generated by iptables-save v1.3.3 on Fri Sep 21 14:58:00 2007 # SMTP Port forwarding #-A PREROUTING -p tcp --dport 587 -j REDIRECT --to-ports 25 #COMMIT # Completed on Fri Sep 21 14:58:00 2007 # Generated by iptables-save v1.3.3 on Fri Sep 21 14:58:00 2007 *mangle :PREROUTING ACCEPT [125:14142] :INPUT ACCEPT [69:9464] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [69:12500] :POSTROUTING ACCEPT [69:12500] COMMIT # Completed on Fri Sep 21 14:58:00 2007 # Generated by iptables-save v1.3.3 on Fri Sep 21 14:58:00 2007 *filter :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # Accept traffic from internal interfaces -A INPUT ! -i eth0 -j ACCEPT # Accept traffic with the ACK flag set -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT # Allow incoming data that is part of a connection we established #-A INPUT -m state --state ESTABLISHED -j ACCEPT # Allow data that is related to existing connections #-A INPUT -m state --state RELATED -j ACCEPT # Accept responses to DNS queries -A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT # Accept responses to our pings -A INPUT -p icmpv6 -m icmpv6 --icmpv6-type echo-reply -j ACCEPT # Accept notifications of unreachable hosts -A INPUT -p icmpv6 -m icmpv6 --icmpv6-type destination-unreachable -j ACCEPT # Accept notifications to reduce sending speed #-A INPUT -p icmpv6 -m icmpv6 --icmpv6-type source-quench -j ACCEPT # Accept notifications of lost packets -A INPUT -p icmpv6 -m icmpv6 --icmpv6-type time-exceeded -j ACCEPT # Accept notifications of protocol problems -A INPUT -p icmpv6 -m icmpv6 --icmpv6-type parameter-problem -j ACCEPT # Allow connections to our IDENT server -A INPUT -p tcp -m tcp --dport auth -j ACCEPT # Respond to pings -A INPUT -p icmp -m icmpv6 --icmpv6-type echo-request -j ACCEPT # Protect our NFS server -A INPUT -p tcp -m tcp --dport 2049:2050 -j DROP # Protect our X11 display server -A INPUT -p tcp -m tcp --dport 6000:6063 -j DROP # Protect our X font server -A INPUT -p tcp -m tcp --dport 7000:7010 -j DROP # Allow connections to unprivileged ports -A INPUT -p tcp -m tcp --dport 21:65535 -j ACCEPT #-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT #-A INPUT -p tcp -m tcp --dport 9891 -j ACCEPT COMMIT
Maar als die ik verwijder krijg ik de melding dat hij COMMIT verwacht
Inmiddels heb ik in Virtualbox aan de praat gekregen.
Dus ga ik zo spoedig mogelijk testen met een dist-upgrade.
Park The Hosting Manager - your friend in hosting software
Quote
