ipfw blockiert gre

qsx

New Member
Moin,

ich habe hier ein FreeBSD 11.1-RELEASE-p1 mit diversen gre-Interfaces, auf dem ich gerne mit ipfw firewallen würde. Aber sobald ich ipfw aktiviere, ist trotz Regeln, die das erlauben sollten, kein Verkehr über die gre-Interfaces mehr möglich:
Code:
root@deimos ~ 
# ifconfig gre0                                                                                                    
gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
        description: CHRiSNEW
        options=80000<LINKSTATE>
        tunnel inet6 2001:19f0:6c01:2a0:5400:ff:fe71:788e --> 2a01:4f8:bd:680:5054:ff:fec8:d6ee
        inet6 fe80::accc:935d:80d7:aeac%gre0 prefixlen 64 scopeid 0x4 
        inet6 fd42:7173:7800:46:0:42:fcde:3ca6 --> fd42:2950::1:6  prefixlen 128 
        inet 172.20.175.70 --> 172.23.234.193  netmask 0xffffffff 
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: gre 
root@deimos ~ 
# ping -c1 172.23.234.193                                                                                          
PING 172.23.234.193 (172.23.234.193): 56 data bytes
64 bytes from 172.23.234.193: icmp_seq=0 ttl=64 time=3.679 ms

--- 172.23.234.193 ping statistics ---
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 3.679/3.679/3.679/0.000 ms
root@deimos ~ 
# ipfw list                                                                                                        
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 allow ip from any to any
65100 allow gre from any to any
65535 deny ip from any to any
root@deimos ~ 
# ipfw enable firewall
root@deimos ~ 
# ping -c1 172.23.234.193                                                                                          
PING 172.23.234.193 (172.23.234.193): 56 data bytes
ping: sendto: Permission denied
^C
--- 172.23.234.193 ping statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss

Überseh ich gerade irgendwas offensichtliches oder ist das kaputt?

--qsx
 
IPFW bricht normalerweise bei der ersten passenden Regel ab. Man kann das ändern indem man one_pass deaktiviert. Das macht sinn, wenn man nach manchen dingen wie NAT Regeln noch weiter machen will. Gerade seit FreeBSD 11.1 gehen mit den named states einige spannende Dinge ohne hässliche Hacks z.B. stateful filtering auf beiden Seiten eines NATs.
 
Zurück
Oben