Neue Antwort schreiben 
 
Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
IPv6 absichern?
Alpha Offline
Oskar

Beiträge: 16.337
Registriert seit: Jan 2009
Beitrag #1
IPv6 absichern?
Moin!
Ich habe auf meinem Router ein IPv6 Tunnel von SiXXS inkl Subnet fürs LAN...
Klappt soweit gut. Jeder Client ist via IPv6 direkt erreichbar.

Ich würde gerne bereits ab dem Router das ganze so lösen, dass IPv6 vom LAN aufgerufen werden kann, aber alle Zugriffe vom Internet zu den IPv6 Clients unterbunden wird. Außer, falls eine Ausnahme gemacht wird, wie Port X zu IP Y durchlassen...

Aber irgendwie kann ich nichts gescheites finden, wie ich sowas direkt auf dem router mit ip6tables absichern kann...

Meine Config sieht so zurzeit aus. Damit scheint nur der Router selbst gesichert zu sein, aber nicht die Clients im LAN.

Code:
#!/bin/bash

# Interfaces
PPP_IF="ppp0"
SIXXS_IF="tun0"

# IP-Bereiche
LL_IP="fe80::/10"
MC_IP="ff00::/8"

# IPTables
IP6TABLES="/sbin/ip6tables"

# Vorhandene Regeln löschen
$IP6TABLES -F

# Standardverhalten
$IP6TABLES -P OUTPUT  ACCEPT
$IP6TABLES -P INPUT   DROP
$IP6TABLES -P FORWARD DROP

# RH0 ignorieren
$IP6TABLES -A INPUT -m rt --rt-type 0 -j DROP
$IP6TABLES -A FORWARD -m rt --rt-type 0 -j DROP
$IP6TABLES -A OUTPUT -m rt --rt-type 0 -j DROP

# INPUT
$IP6TABLES -A INPUT -s $LL_IP -j ACCEPT
$IP6TABLES -A INPUT -s $MC_IP -j ACCEPT
$IP6TABLES -A INPUT -p icmpv6 -j ACCEPT
$IP6TABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# FORWARD
$IP6TABLES -A FORWARD -p icmpv6 -j ACCEPT
$IP6TABLES -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Vorschläge?

Mark IV Style Motherfucker!
05.07.2009 21:46
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
oreissig Offline
Maître Modérateur

Beiträge: 11.991
Registriert seit: Jul 2008
Beitrag #2
IPv6 absichern?
könntest du nich einfach für IPv6 keine defaultroute bereitstellen oder so?
05.07.2009 21:48
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Alpha Offline
Oskar

Beiträge: 16.337
Registriert seit: Jan 2009
Beitrag #3
IPv6 absichern?
oreissig schrieb:  könntest du nich einfach für IPv6 keine defaultroute bereitstellen oder so?

Ne, was würde das bringen? Dann hat der Router ja nichtmal mehr IPv6 aktiv, und hier solls ja schon aktiv sein...

Mark IV Style Motherfucker!
05.07.2009 21:50
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
oreissig Offline
Maître Modérateur

Beiträge: 11.991
Registriert seit: Jul 2008
Beitrag #4
IPv6 absichern?
4lpha0m3ga schrieb:  Ne, was würde das bringen?
dann hättest du halt im LAN IPv6, aber nich ins internet ;)
k mit iptables oder so kenn ich mich nich weiter aus, da muss ich passen
05.07.2009 21:56
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Alpha Offline
Oskar

Beiträge: 16.337
Registriert seit: Jan 2009
Beitrag #5
IPv6 absichern?
oreissig schrieb:  
4lpha0m3ga schrieb:  Ne, was würde das bringen?
dann hättest du halt im LAN IPv6, aber nich ins internet ;)
k mit iptables oder so kenn ich mich nich weiter aus, da muss ich passen

Ja gut, leider nicht, was ich will :D IPv6 soll schon ins Internet gehen :)

Mark IV Style Motherfucker!
05.07.2009 21:58
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Alpha Offline
Oskar

Beiträge: 16.337
Registriert seit: Jan 2009
Beitrag #6
IPv6 absichern?
Habs nun...

So muss es aussehen:

Code:
Galactica / # cat /root/iptables/ip6tables.sh
#!/bin/bash

# Clients
PEGASUS="XX"

# Interfaces
LAN_IF="eth0"
LO_IF="lo"
SIXXS_IF="tun0"
WAN_IF="eth1"

# IPTables
IP6TABLES="/sbin/ip6tables"

# Vorhandene Regeln löschen
$IP6TABLES -F

# Standardverhalten
$IP6TABLES -P FORWARD DROP
$IP6TABLES -P INPUT   DROP
$IP6TABLES -P OUTPUT  ACCEPT

# FORWARD
$IP6TABLES -A FORWARD -i $LO_IF -j ACCEPT
$IP6TABLES -A FORWARD -i $LAN_IF -m state --state ESTABLISHED,NEW,RELATED -j ACCEPT
$IP6TABLES -A FORWARD -i $SIXXS_IF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IP6TABLES -A FORWARD -i $WAN_IF -j DROP

# INPUT
$IP6TABLES -A INPUT -i $LO_IF -j ACCEPT
$IP6TABLES -A INPUT -i $LAN_IF -j ACCEPT
$IP6TABLES -A INPUT -i $SIXXS_IF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IP6TABLES -A INPUT -i $WAN_IF -j DROP

Mark IV Style Motherfucker!
11.07.2009 22:02
Alle Beiträge dieses Benutzers finden Diese Nachricht in einer Antwort zitieren
Neue Antwort schreiben 


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste