Linearer Modus

***Alpha*** · 05.07.2009 21:46

Moin!
Ich habe auf meinem Router ein IPv6 Tunnel von SiXXS inkl Subnet fürs LAN...
Klappt soweit gut. Jeder Client ist via IPv6 direkt erreichbar.

Ich würde gerne bereits ab dem Router das ganze so lösen, dass IPv6 vom LAN aufgerufen werden kann, aber alle Zugriffe vom Internet zu den IPv6 Clients unterbunden wird. Außer, falls eine Ausnahme gemacht wird, wie Port X zu IP Y durchlassen...

Aber irgendwie kann ich nichts gescheites finden, wie ich sowas direkt auf dem router mit ip6tables absichern kann...

Meine Config sieht so zurzeit aus. Damit scheint nur der Router selbst gesichert zu sein, aber nicht die Clients im LAN.

Code:

#!/bin/bash

# Interfaces

PPP_IF="ppp0"

SIXXS_IF="tun0"

# IP-Bereiche

LL_IP="fe80::/10"

MC_IP="ff00::/8"

# IPTables

IP6TABLES="/sbin/ip6tables"

# Vorhandene Regeln löschen

$IP6TABLES -F

# Standardverhalten

$IP6TABLES -P OUTPUT  ACCEPT

$IP6TABLES -P INPUT   DROP

$IP6TABLES -P FORWARD DROP

# RH0 ignorieren

$IP6TABLES -A INPUT -m rt --rt-type 0 -j DROP

$IP6TABLES -A FORWARD -m rt --rt-type 0 -j DROP

$IP6TABLES -A OUTPUT -m rt --rt-type 0 -j DROP

# INPUT

$IP6TABLES -A INPUT -s $LL_IP -j ACCEPT

$IP6TABLES -A INPUT -s $MC_IP -j ACCEPT

$IP6TABLES -A INPUT -p icmpv6 -j ACCEPT

$IP6TABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# FORWARD

$IP6TABLES -A FORWARD -p icmpv6 -j ACCEPT

$IP6TABLES -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Vorschläge?

**oreissig** · 05.07.2009 21:48

könntest du nich einfach für IPv6 keine defaultroute bereitstellen oder so?

***Alpha*** · 05.07.2009 21:50

oreissig schrieb: könntest du nich einfach für IPv6 keine defaultroute bereitstellen oder so?

Ne, was würde das bringen? Dann hat der Router ja nichtmal mehr IPv6 aktiv, und hier solls ja schon aktiv sein...

**oreissig** · 05.07.2009 21:56

4lpha0m3ga schrieb: Ne, was würde das bringen?

dann hättest du halt im LAN IPv6, aber nich ins internet

k mit iptables oder so kenn ich mich nich weiter aus, da muss ich passen

***Alpha*** · 05.07.2009 21:58

oreissig schrieb:
4lpha0m3ga schrieb: Ne, was würde das bringen?
dann hättest du halt im LAN IPv6, aber nich ins internet
k mit iptables oder so kenn ich mich nich weiter aus, da muss ich passen

Ja gut, leider nicht, was ich will

IPv6 soll schon ins Internet gehen

***Alpha*** · 11.07.2009 22:02

Habs nun...

So muss es aussehen:

Code:

Galactica / # cat /root/iptables/ip6tables.sh

#!/bin/bash

# Clients

PEGASUS="XX"

# Interfaces

LAN_IF="eth0"

LO_IF="lo"

SIXXS_IF="tun0"

WAN_IF="eth1"

# IPTables

IP6TABLES="/sbin/ip6tables"

# Vorhandene Regeln löschen

$IP6TABLES -F

# Standardverhalten

$IP6TABLES -P FORWARD DROP

$IP6TABLES -P INPUT   DROP

$IP6TABLES -P OUTPUT  ACCEPT

# FORWARD

$IP6TABLES -A FORWARD -i $LO_IF -j ACCEPT

$IP6TABLES -A FORWARD -i $LAN_IF -m state --state ESTABLISHED,NEW,RELATED -j ACCEPT

$IP6TABLES -A FORWARD -i $SIXXS_IF -m state --state ESTABLISHED,RELATED -j ACCEPT

$IP6TABLES -A FORWARD -i $WAN_IF -j DROP

# INPUT

$IP6TABLES -A INPUT -i $LO_IF -j ACCEPT

$IP6TABLES -A INPUT -i $LAN_IF -j ACCEPT

$IP6TABLES -A INPUT -i $SIXXS_IF -m state --state ESTABLISHED,RELATED -j ACCEPT

$IP6TABLES -A INPUT -i $WAN_IF -j DROP