Moin,
ich habe hier ein FreeBSD 11.1-RELEASE-p1 mit diversen gre-Interfaces, auf dem ich gerne mit ipfw firewallen würde. Aber sobald ich ipfw aktiviere, ist trotz Regeln, die das erlauben sollten, kein Verkehr über die gre-Interfaces mehr möglich:
Überseh ich gerade irgendwas offensichtliches oder ist das kaputt?
--qsx
ich habe hier ein FreeBSD 11.1-RELEASE-p1 mit diversen gre-Interfaces, auf dem ich gerne mit ipfw firewallen würde. Aber sobald ich ipfw aktiviere, ist trotz Regeln, die das erlauben sollten, kein Verkehr über die gre-Interfaces mehr möglich:
Code:
root@deimos ~
# ifconfig gre0
gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
description: CHRiSNEW
options=80000<LINKSTATE>
tunnel inet6 2001:19f0:6c01:2a0:5400:ff:fe71:788e --> 2a01:4f8:bd:680:5054:ff:fec8:d6ee
inet6 fe80::accc:935d:80d7:aeac%gre0 prefixlen 64 scopeid 0x4
inet6 fd42:7173:7800:46:0:42:fcde:3ca6 --> fd42:2950::1:6 prefixlen 128
inet 172.20.175.70 --> 172.23.234.193 netmask 0xffffffff
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: gre
root@deimos ~
# ping -c1 172.23.234.193
PING 172.23.234.193 (172.23.234.193): 56 data bytes
64 bytes from 172.23.234.193: icmp_seq=0 ttl=64 time=3.679 ms
--- 172.23.234.193 ping statistics ---
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 3.679/3.679/3.679/0.000 ms
root@deimos ~
# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 allow ip from any to any
65100 allow gre from any to any
65535 deny ip from any to any
root@deimos ~
# ipfw enable firewall
root@deimos ~
# ping -c1 172.23.234.193
PING 172.23.234.193 (172.23.234.193): 56 data bytes
ping: sendto: Permission denied
^C
--- 172.23.234.193 ping statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss
Überseh ich gerade irgendwas offensichtliches oder ist das kaputt?
--qsx