PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : v4 funzt, v6 geht irgendwie nicht :(


pcdog
20.08.08, 13:24
Hallo Leute

ich habe hier eine configuration mit einem 6to4 tunnel.



# Generated by ip6tables-save v1.3.6 on Wed Aug 20 14:21:45 2008
*raw
:PREROUTING ACCEPT [604:93496]
:OUTPUT ACCEPT [572:55786]
COMMIT
# Completed on Wed Aug 20 14:21:45 2008
# Generated by ip6tables-save v1.3.6 on Wed Aug 20 14:21:45 2008
*mangle
:PREROUTING ACCEPT [771:117056]
:INPUT ACCEPT [771:117056]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [728:70962]
:POSTROUTING ACCEPT [728:70962]
COMMIT
# Completed on Wed Aug 20 14:21:45 2008
# Generated by ip6tables-save v1.3.6 on Wed Aug 20 14:21:45 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [505:49255]
-A INPUT -s ::/0 -d ::/0 -m state --state INVALID -j DROP
-A INPUT -s ::/0 -d ::/0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -i lo -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -m state --state INVALID -j DROP
-A FORWARD -s ::/0 -d ::/0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -s ::/0 -d ::/0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Aug 20 14:21:45 2008



interessanterweise geht das mit dem v4er tunnel. liegt das dran das ich mehr einstellen mus dass er den 6to4 anycast akzeptiert?



lg,
silvan


hier noch die V4er regeln die 1a funzen:




# Generated by iptables-save v1.3.6 on Wed Aug 20 14:24:08 2008
*filter
:INPUT DROP [37:5060]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [671:51151]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s 213.XXX.XXX.5 -j ACCEPT
-A INPUT -s 82.197.XXX.64/255.255.255.224 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7777 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9090 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 9091 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5061 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5223 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5229 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5269 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5275 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 7070 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Wed Aug 20 14:24:08 2008
pcdog
20.08.08, 13:53
update: ein
proto ipv6 ACCEPT;


hat auch nix gebracht (ich benutze ferm)

bzw in iptables sieht das dann so aus:
ACCEPT ipv6 -- anywhere anywhere
pcdog
20.08.08, 14:58
update: dieser thread kommt auf #1 bei google für "ferm with 6to4"


ned schlecht :P

ich habe nun die state anweisungen bei ipv6 rausgekommen, seither gehen eingehende verbindungen, aber ich bringe keine mehr raus. jemand ne idee?

OUTPUT bei ip6tables ist auf ACCEPT gesetzt - mir scheint pakete gehen raus, jop, aber rein nicht mehr :(


(er vergisst das verbindungen schon stehen)

aber wenn ich state reinpacke, (mod state) geht wiederum gar nichts mehr

grüessli
Silvan
pcdog
20.08.08, 15:05
argh, immer noch ego posting, aber kann mir jemand bestätigen das connection tracking broken ist auf kernel version die ich hier habe?

Linux rootserver1 2.6.18-1-vserver-686 #1 SMP Sat Oct 21 19:47:35 UTC 2006 i686 GNU/Linux



darauf brachte mich:
http://madduck.net/docs/ipv6/
http://marc.info/?l=netfilter&m=120721500029983&w=2

Update: updaten auf 2.6.24 (etchnhalf) hats gebracht - der ist ja bei 4.0r4 eh dabei