IP6FW Probleme

L

lecram

Member
Hallo zusammen,

Ich habe ein problem mit IP6FW das ich nicht ganz einkreisen kann, wenn ich meine IP6FW Regel aktiviere unter FreeBSD 4.10 geht nichts mehr mit IPv6. Jedoch gehe ich nach der gleichen Logic vor wie mit der normalen IPFW unter IPv4. Bis auf die spezielen IPv6 Parameter. Hat von euch ev. jemand eine Idee was ich falsch mache ?

# abusers
# no ms-sql here (damn scanners!)
add 00101 deny tcp from any to xxxx:xxxx:x::x 1433

# no netbios either
add 00102 deny tcp from any to xxxx:xxxx:x::x 135,27374
add 00103 deny udp from any to xxxx:xxxx:x::x 137,139

# localhost traffic
add 00401 allow ipv6 from any to any via lo0

# established connections
add 00403 allow tcp from any to xxxx:xxxx:x::x established

# allow IP fragments
add 00404 allow ipv6 from any to xxxx:xxxx:x::x frag

# icmp
add 00405 allow ipv6-icmp from any to xxxx:xxxx:x::x in icmptypes 0,3,8,11
add 00406 deny ipv6-icmp from any to xxxx:xxxx:x::x in

# httpd
add 00801 allow tcp from any to xxxx:xxxx:x::x 80

# httpd-ssl
add 00802 allow tcp from any to xxxx:xxxx:x::x 443

# identd
add 00901 allow tcp from any to xxxx:xxxx:x::x 113

# traceroute
add 01301 allow udp from any to xxxx:xxxx:x::x 33434-33523

# UnrealIRCd
add 06660 allow tcp from any to xxxx:xxxx:x::x 6660
add 06666 allow tcp from any to xxxx:xxxx:x::x 6666
add 06667 allow tcp from any to xxxx:xxxx:x::x 6667
add 06668 allow tcp from any to xxxx:xxxx:x::x 6668
add 06669 allow tcp from any to xxxx:xxxx:x::x 6669
add 06670 allow tcp from any to xxxx:xxxx:x::x 6670
add 07000 allow tcp from any to xxxx:xxxx:x::x 7000
add 07029 allow tcp from any to xxxx:xxxx:x::x 7029

# outgoing traffic
add 65533 allow ipv6 from any to any out

# default rule
add 65534 deny log ipv6 from any to any
Zum Vergrößern anklicken....

Danke euch für die Antwort

Lecram
 
Hi,

lecram schrieb:
Hat von euch ev. jemand eine Idee was ich falsch mache ?
Zum Vergrößern anklicken....

werf doch mal einen Blick auf meine Regeln. Ich hatte anfangs immer dieses
IPv6-typische broadcasting uebersehen und es ging gar nix mehr. Du musst
halt nur meine IPv6-Adresse durch Deine ersetzen und das Interface anpassen.


Code: 
ip6fw -f flush

ip6fw add allow all from any to any via lo0
ip6fw add deny  log all from any to ::1 via lo0

ip6fw add allow all from fe80::/10 to ff02::/16 in via tun0
ip6fw add allow all from 2001:608:203::/125 to ff02::/16 in via tun0

ip6fw add allow all from 2001:608:203::/125 to any out via tun0

ip6fw add allow tcp from any to 2001:608:203::/125 established

ip6fw add allow tcp from any to 2001:608:203::1 22 in via tun0 setup
ip6fw add allow tcp from any to 2001:608:203::/125 80 in via tun0 setup

ip6fw add allow udp from any 53 to 2001:608:203::/125 in via tun0
ip6fw add allow udp from any to 2001:608:203::/125 33000-34000 in via tun0

ip6fw add allow ipv6-icmp from any to 2001:608:203::/125 in via tun0
ip6fw add allow ipv6-icmp from fe80::/10 to fe80::/10
ip6fw add allow ipv6-icmp from :: to ff02::/16

ip6fw add deny  log all from any to any


Ciao,
-Martin.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben