ip6tables Problem

H

homecrow

Jungspund
Hallo zusammen,
ich hab ein Problem kann aber keinen Fehler finden, äußert sich wie folgt, ich habe endlich für ein System in Netz eine IPv6 bekommen und möchte jetzt entsprechend eine FW dafür bauen. Für IPv4 klappt das alles auch super, aber IPv6 macht massive Probleme, sobald ich die FW aktiviere gehen nach 4-10 Sekunden die Ports dicht, via IPv4 bleibt alles wie gewünscht offen. Ich kann allerdings kein Problem in der config finden.
Code:
#!/bin/bash

LOGLIMIT=1
IPTABLES=/sbin/iptables
IPTABLES6=/sbin/ip6tables

case "$1" in
stop)
    #=========================
    # Alle Regeln loeschen
    #=========================
    $IPTABLES -F
    $IPTABLES -X
    
    $IPTABLES6 -F
    $IPTABLES6 -X

    #=========================
    # Default Policy auf ACCEPT setzen
    #=========================
    $IPTABLES -P INPUT   ACCEPT
    $IPTABLES -P FORWARD ACCEPT
    $IPTABLES -P OUTPUT  ACCEPT

    $IPTABLES6 -P INPUT   ACCEPT
    $IPTABLES6 -P FORWARD ACCEPT
    $IPTABLES6 -P OUTPUT  ACCEPT


    /usr/sbin/sysctl -w net.ipv4.ip_forward=0
    /usr/sbin/sysctl -w net.ipv6.conf.all.forwarding=0
    exit 0
    ;;

start)
    /usr/sbin/sysctl -w net.ipv4.ip_forward=1
    /usr/sbin/sysctl -w net.ipv6.conf.all.forwarding=1

    #=========================
    # Alle Regeln loeschen
    #=========================
    $IPTABLES -F
    $IPTABLES -X

    $IPTABLES6 -F
    $IPTABLES6 -X

    #=========================
    # Default Policy setzen
    #=========================
    $IPTABLES -P INPUT DROP
    $IPTABLES -P FORWARD DROP
    $IPTABLES -P OUTPUT ACCEPT

    $IPTABLES6 -P INPUT DROP
    $IPTABLES6 -P FORWARD DROP
    $IPTABLES6 -P OUTPUT ACCEPT


    #=========================
    # ESTABLISHED,RELATED erlauben
    #=========================
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    $IPTABLES6 -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPTABLES6 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #=========================
    # Loopback
    #=========================
    $IPTABLES -A INPUT -i lo -j ACCEPT
    $IPTABLES6 -A INPUT -i lo -j ACCEPT

    #=========================
    # ICMP erlauben
    #=========================
    
    $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
    $IPTABLES6 -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT

    #=========================
    # SSH 
    #=========================
    $IPTABLES -A INPUT -p tcp --dport ssh -j ACCEPT
    $IPTABLES6 -A INPUT -p tcp --dport ssh -j ACCEPT

    #=========================
    # Web Server
    #=========================
    $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
    $IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT

    $IPTABLES6 -A INPUT -p tcp --dport 80 -j ACCEPT
    $IPTABLES6 -A INPUT -p tcp --dport 443 -j ACCEPT

    #=========================
    # Mumble Server
    #=========================
    $IPTABLES -A INPUT -p tcp --dport 64738 -j ACCEPT
    $IPTABLES -A INPUT -p udp --dport 64738 -j ACCEPT

    $IPTABLES6 -A INPUT -p tcp --dport 64738 -j ACCEPT
    $IPTABLES6 -A INPUT -p udp --dport 64738 -j ACCEPT

    #=========================
    # TeamSpeak Server
    #=========================
    $IPTABLES -A INPUT -p udp --dport 9987 -j ACCEPT
    $IPTABLES -A INPUT -p tcp --dport 30033 -j ACCEPT
    $IPTABLES -A INPUT -p tcp --dport 10011 -j ACCEPT

    $IPTABLES6 -A INPUT -p udp --dport 9987 -j ACCEPT
    $IPTABLES6 -A INPUT -p tcp --dport 30033 -j ACCEPT
    $IPTABLES6 -A INPUT -p tcp --dport 10011 -j ACCEPT

    #=========================
    # Mail Server
    #=========================
    $IPTABLES -A INPUT -p tcp --dport 993 -j ACCEPT #ssl/imap
    $IPTABLES -A INPUT -p tcp --dport 587 -j ACCEPT #submission
    $IPTABLES -A INPUT -p tcp --dport 25  -j ACCEPT #smtp

    $IPTABLES6 -A INPUT -p tcp --dport 993 -j ACCEPT #ssl/imap
    $IPTABLES6 -A INPUT -p tcp --dport 587 -j ACCEPT #submission
    $IPTABLES6 -A INPUT -p tcp --dport 25  -j ACCEPT #smtp

    #=========================
    # DNS Server
    #=========================
    $IPTABLES -A INPUT -p tcp --dport 53  -j ACCEPT
    $IPTABLES -A INPUT -p udp --dport 53  -j ACCEPT

    $IPTABLES6 -A INPUT -p tcp --dport 53  -j ACCEPT
    $IPTABLES6 -A INPUT -p udp --dport 53  -j ACCEPT

    #=========================
    # OpenVPN
    #=========================
    $IPTABLES -A INPUT -p tcp --dport 5000 -j ACCEPT
    $IPTABLES -A INPUT -p udp --dport 5000 -j ACCEPT
    $IPTABLES -A INPUT -i tun0 -j ACCEPT

    #=========================
    # Prosody / Jabber
    #=========================
    $IPTABLES -A INPUT -p tcp --dport 5269  -j ACCEPT
    $IPTABLES -A INPUT -p tcp --dport 5222  -j ACCEPT

    $IPTABLES6 -A INPUT -p tcp --dport 5269  -j ACCEPT
    $IPTABLES6 -A INPUT -p tcp --dport 5222  -j ACCEPT

    #=========================
    # OpenVPN Routing
    #=========================
    $IPTABLES -A FORWARD -i tun0 -j ACCEPT
    $IPTABLES -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
    $IPTABLES -t nat -A POSTROUTING -s 10.10.0.0/16 -o eth0 -j MASQUERADE
  
    #in case of device bridge
    #iptables -t nat -A POSTROUTING -o br0 -s 10.10.0.0/16 -j SNAT --to 172.31.1.100


    #=========================
    # Reject all none matches with icmp-port-unreachable
    #=========================
    $IPTABLES -N ALL_REJECT
    $IPTABLES -A ALL_REJECT -j REJECT --reject-with icmp-port-unreachable
    $IPTABLES -A INPUT -p tcp   -j ALL_REJECT
    $IPTABLES -A INPUT -p udp   -j ALL_REJECT
    $IPTABLES -A FORWARD -p tcp -j ALL_REJECT
    $IPTABLES -A FORWARD -p udp -j ALL_REJECT

    $IPTABLES6 -N ALL_REJECTv6
    $IPTABLES6 -A ALL_REJECTv6 -j REJECT --reject-with icmp6-adm-prohibited
    $IPTABLES6 -A INPUT -p tcp   -j ALL_REJECTv6
    $IPTABLES6 -A INPUT -p udp   -j ALL_REJECTv6
    $IPTABLES6 -A FORWARD -p tcp -j ALL_REJECTv6
    $IPTABLES6 -A FORWARD -p udp -j ALL_REJECTv6


    exit 0
    ;;
*)
    echo "Usage: `basename $0` {start | stop}" >&2
    exit 64
    ;;
esac

exit 0

Ein nmap -p 993 host.ltd -4 -Pn
bringt immer ein:
PORT STATE SERVICE
993/tcp open imaps

Sobald ich die FW aktiviere dauert es wie geschrieben 5-10 Sekunden (in welchen der Port noch offen ist)
bevor das Fehlerbild wie folgt aussieht.

nmap -p 993 host.ltd -6 -Pn
PORT STATE SERVICE
993/tcp filtered imaps

Leider hab ich absolut keine Idee was hier falsch läuft, hoffe das ist bei euch anders.

Danke im Vorraus
 
Moin,

dein Problem wird sehr warscheinlich NDP sein (neighbor discovery protocol), zumindest klingt es sehr danach.
Ist ein wenig so als würde dir ARP fehlen, wikipedia artikel war glaub ich ganz nett: https://de.wikipedia.org/wiki/Neighbor_Discovery_Protocol

Versuch mal was sowas wie:
Code:
....
 #=========================
   # ICMP erlauben
   #=========================
  
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
$IPTABLES -A INPUT -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
$IPTABLES -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
$IPTABLES -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
...
 
Zuletzt bearbeitet:

Ähnliche Themen

Port Forwarding mit iptables

iptables verständniss frage, xrdp nicht erreichbar.

[SOLVED][CentOS 7] Samba server nicht erreichbar trotz firewall regeln.

Wired-Lan komisches Verhalten

iptables und whitelist

Zurück
Oben