Todo o tráfego IPv6 bloqueado por pf

2

O seguinte pf.conf (FreeBSD 10.3) parece estar bloqueando todo o tráfego IPv6 e não consigo descobrir o porquê.

tcp_inbound = "{ ssh, domain, http, https }"
tcp_outbound = "{ domain, http, https, imaps, smtps }"

udp_services = "{ domain, ntp }"

block all
pass proto udp to any port $udp_services keep state
pass out proto tcp to any port $tcp_outbound keep state
pass in proto tcp to any port $tcp_inbound keep state

# from https://help.github.com/articles/what-ip-addresses-does-github-use-that-i-should-whitelist/
table <github> { 192.30.252.0/22, 2620:112:3000::/44 }
pass out proto tcp to <github> port { ssh } keep state

pass proto icmp from any to any

Como eu permito o tráfego IPv6 nos mesmos serviços que eu permito o IPv4? Eu adicionei versões inet6 explícitas de cada regra e isso não pareceu ajudar. Se eu desativar pf , o tráfego IPv6 passa bem.

    
por dpk 27.09.2016 / 13:58

1 resposta

6

Ao ativar o registro, consegui descobrir que isso ocorre porque a solicitação do roteador ICMP6 estava sendo bloqueada. Adicionando

pass proto ipv6-icmp from any to any

até o final do arquivo corrigiu o problema.

    
por 27.09.2016 / 14:31