H
homecrow
Jungspund
Hallo zusammen,
ich hab ein Problem kann aber keinen Fehler finden, äußert sich wie folgt, ich habe endlich für ein System in Netz eine IPv6 bekommen und möchte jetzt entsprechend eine FW dafür bauen. Für IPv4 klappt das alles auch super, aber IPv6 macht massive Probleme, sobald ich die FW aktiviere gehen nach 4-10 Sekunden die Ports dicht, via IPv4 bleibt alles wie gewünscht offen. Ich kann allerdings kein Problem in der config finden.
Ein nmap -p 993 host.ltd -4 -Pn
bringt immer ein:
PORT STATE SERVICE
993/tcp open imaps
Sobald ich die FW aktiviere dauert es wie geschrieben 5-10 Sekunden (in welchen der Port noch offen ist)
bevor das Fehlerbild wie folgt aussieht.
nmap -p 993 host.ltd -6 -Pn
PORT STATE SERVICE
993/tcp filtered imaps
Leider hab ich absolut keine Idee was hier falsch läuft, hoffe das ist bei euch anders.
Danke im Vorraus
ich hab ein Problem kann aber keinen Fehler finden, äußert sich wie folgt, ich habe endlich für ein System in Netz eine IPv6 bekommen und möchte jetzt entsprechend eine FW dafür bauen. Für IPv4 klappt das alles auch super, aber IPv6 macht massive Probleme, sobald ich die FW aktiviere gehen nach 4-10 Sekunden die Ports dicht, via IPv4 bleibt alles wie gewünscht offen. Ich kann allerdings kein Problem in der config finden.
Code:
#!/bin/bash
LOGLIMIT=1
IPTABLES=/sbin/iptables
IPTABLES6=/sbin/ip6tables
case "$1" in
stop)
#=========================
# Alle Regeln loeschen
#=========================
$IPTABLES -F
$IPTABLES -X
$IPTABLES6 -F
$IPTABLES6 -X
#=========================
# Default Policy auf ACCEPT setzen
#=========================
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES6 -P INPUT ACCEPT
$IPTABLES6 -P FORWARD ACCEPT
$IPTABLES6 -P OUTPUT ACCEPT
/usr/sbin/sysctl -w net.ipv4.ip_forward=0
/usr/sbin/sysctl -w net.ipv6.conf.all.forwarding=0
exit 0
;;
start)
/usr/sbin/sysctl -w net.ipv4.ip_forward=1
/usr/sbin/sysctl -w net.ipv6.conf.all.forwarding=1
#=========================
# Alle Regeln loeschen
#=========================
$IPTABLES -F
$IPTABLES -X
$IPTABLES6 -F
$IPTABLES6 -X
#=========================
# Default Policy setzen
#=========================
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES6 -P INPUT DROP
$IPTABLES6 -P FORWARD DROP
$IPTABLES6 -P OUTPUT ACCEPT
#=========================
# ESTABLISHED,RELATED erlauben
#=========================
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES6 -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES6 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#=========================
# Loopback
#=========================
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES6 -A INPUT -i lo -j ACCEPT
#=========================
# ICMP erlauben
#=========================
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES6 -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
#=========================
# SSH
#=========================
$IPTABLES -A INPUT -p tcp --dport ssh -j ACCEPT
$IPTABLES6 -A INPUT -p tcp --dport ssh -j ACCEPT
#=========================
# Web Server
#=========================
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
$IPTABLES6 -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES6 -A INPUT -p tcp --dport 443 -j ACCEPT
#=========================
# Mumble Server
#=========================
$IPTABLES -A INPUT -p tcp --dport 64738 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 64738 -j ACCEPT
$IPTABLES6 -A INPUT -p tcp --dport 64738 -j ACCEPT
$IPTABLES6 -A INPUT -p udp --dport 64738 -j ACCEPT
#=========================
# TeamSpeak Server
#=========================
$IPTABLES -A INPUT -p udp --dport 9987 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 30033 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 10011 -j ACCEPT
$IPTABLES6 -A INPUT -p udp --dport 9987 -j ACCEPT
$IPTABLES6 -A INPUT -p tcp --dport 30033 -j ACCEPT
$IPTABLES6 -A INPUT -p tcp --dport 10011 -j ACCEPT
#=========================
# Mail Server
#=========================
$IPTABLES -A INPUT -p tcp --dport 993 -j ACCEPT #ssl/imap
$IPTABLES -A INPUT -p tcp --dport 587 -j ACCEPT #submission
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT #smtp
$IPTABLES6 -A INPUT -p tcp --dport 993 -j ACCEPT #ssl/imap
$IPTABLES6 -A INPUT -p tcp --dport 587 -j ACCEPT #submission
$IPTABLES6 -A INPUT -p tcp --dport 25 -j ACCEPT #smtp
#=========================
# DNS Server
#=========================
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
$IPTABLES6 -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES6 -A INPUT -p udp --dport 53 -j ACCEPT
#=========================
# OpenVPN
#=========================
$IPTABLES -A INPUT -p tcp --dport 5000 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 5000 -j ACCEPT
$IPTABLES -A INPUT -i tun0 -j ACCEPT
#=========================
# Prosody / Jabber
#=========================
$IPTABLES -A INPUT -p tcp --dport 5269 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 5222 -j ACCEPT
$IPTABLES6 -A INPUT -p tcp --dport 5269 -j ACCEPT
$IPTABLES6 -A INPUT -p tcp --dport 5222 -j ACCEPT
#=========================
# OpenVPN Routing
#=========================
$IPTABLES -A FORWARD -i tun0 -j ACCEPT
$IPTABLES -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s 10.10.0.0/16 -o eth0 -j MASQUERADE
#in case of device bridge
#iptables -t nat -A POSTROUTING -o br0 -s 10.10.0.0/16 -j SNAT --to 172.31.1.100
#=========================
# Reject all none matches with icmp-port-unreachable
#=========================
$IPTABLES -N ALL_REJECT
$IPTABLES -A ALL_REJECT -j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A INPUT -p tcp -j ALL_REJECT
$IPTABLES -A INPUT -p udp -j ALL_REJECT
$IPTABLES -A FORWARD -p tcp -j ALL_REJECT
$IPTABLES -A FORWARD -p udp -j ALL_REJECT
$IPTABLES6 -N ALL_REJECTv6
$IPTABLES6 -A ALL_REJECTv6 -j REJECT --reject-with icmp6-adm-prohibited
$IPTABLES6 -A INPUT -p tcp -j ALL_REJECTv6
$IPTABLES6 -A INPUT -p udp -j ALL_REJECTv6
$IPTABLES6 -A FORWARD -p tcp -j ALL_REJECTv6
$IPTABLES6 -A FORWARD -p udp -j ALL_REJECTv6
exit 0
;;
*)
echo "Usage: `basename $0` {start | stop}" >&2
exit 64
;;
esac
exit 0
Ein nmap -p 993 host.ltd -4 -Pn
bringt immer ein:
PORT STATE SERVICE
993/tcp open imaps
Sobald ich die FW aktiviere dauert es wie geschrieben 5-10 Sekunden (in welchen der Port noch offen ist)
bevor das Fehlerbild wie folgt aussieht.
nmap -p 993 host.ltd -6 -Pn
PORT STATE SERVICE
993/tcp filtered imaps
Leider hab ich absolut keine Idee was hier falsch läuft, hoffe das ist bei euch anders.
Danke im Vorraus