Como faço para ativar o tráfego de entrada IPv6 para ser encaminhado para minha máquina?

2

Parece que o tráfego IPv6 no meu roteador está sendo descartado.

Como eu configuro ip6tables apropriadamente, para que o tráfego seja encaminhado / aceito para minha máquina?

Este é o syslog do meu tráfego IPv6:

Jun 29 18:44:52 kernel: DROP IN=eth3 OUT=br0 MAC=MAC_ADDR_1 SRC=2002:xxxx:ba3d:0000:0000:0000:74ca:ba3d DST=My_IPv6_IP_ADDR LEN=68 TC=0 HOPLIMIT=119 FLOWLBL=0 PROTO=TCP SPT=58154 DPT=63282 SEQ=3810938415 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020404C401010402) 
Jun 29 18:44:52 kernel: DROP IN=eth3 OUT=br0 MAC=MAC_ADDR_1 SRC=2002:xxxx:ba3d:0000:0000:0000:74ca:ba3d DST=My_IPv6_IP_ADDR LEN=78 TC=0 HOPLIMIT=119 FLOWLBL=0 PROTO=UDP SPT=28798 DPT=63282 LEN=38 
Jun 29 18:44:57 kernel: DROP IN=eth3 OUT=br0 MAC=MAC_ADDR_1 SRC=2001:xxxx:0008:e8ad:0000:0000:0000:0001 DST=My_IPv6_IP_ADDR LEN=80 TC=0 HOPLIMIT=50 FLOWLBL=0 PROTO=TCP SPT=40930 DPT=80 SEQ=2391968293 ACK=0 WINDOW=14400 RES=0x00 SYN URGP=0 OPT (020405A00402080A7E7DEFB80000000001030307) 
Jun 29 18:44:58 kernel: DROP IN=eth3 OUT=br0 MAC=MAC_ADDR_1 SRC=2001:xxxx:0008:e8ad:0000:0000:0000:0001 DST=My_IPv6_IP_ADDR LEN=80 TC=0 HOPLIMIT=50 FLOWLBL=0 PROTO=TCP SPT=40930 DPT=80 SEQ=2391968293 ACK=0 WINDOW=14400 RES=0x00 SYN URGP=0 OPT (020405A00402080A7E7DF0B20000000001030307) 
Jun 29 18:44:59 kernel: DROP IN=eth3 OUT=br0 MAC=MAC_ADDR_1 SRC=2a02:xxxx:c310:a5a0:81eb:84c7:22af:7539 DST=My_IPv6_IP_ADDR LEN=72 TC=0 HOPLIMIT=43 FLOWLBL=0 PROTO=TCP SPT=58249 DPT=63282 SEQ=1653524828 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405A00103030801010402) 
Jun 29 18:44:59 kernel: DROP IN=eth3 OUT=br0 MAC=MAC_ADDR_1 SRC=2a02:xxxx:c310:a5a0:81eb:84c7:22af:7539 DST=My_IPv6_IP_ADDR LEN=78 TC=0 HOPLIMIT=43 FLOWLBL=0 PROTO=UDP SPT=23103 DPT=63282 LEN=38 
Jun 29 18:45:00 kernel: DROP IN=eth3 OUT=br0 MAC=MAC_ADDR_1 SRC=2001:xxxx:0008:e8ad:0000:0000:0000:0001 DST=My_IPv6_IP_ADDR LEN=80 TC=0 HOPLIMIT=50 FLOWLBL=0 PROTO=TCP SPT=40930 DPT=80 SEQ=2391968293 ACK=0 WINDOW=14400 RES=0x00 SYN URGP=0 OPT (020405A00402080A7E7DF2A70000000001030307) 
Jun 29 18:45:02 kernel: DROP IN=eth3 OUT=br0 MAC=MAC_ADDR_1 SRC=2a02:xxxx:c310:a5a0:81eb:84c7:22af:7539 DST=My_IPv6_IP_ADDR LEN=72 TC=0 HOPLIMIT=43 FLOWLBL=0 PROTO=TCP SPT=58249 DPT=63282 SEQ=1653524828 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405A00103030801010402) 
Jun 29 18:45:02 kernel: DROP IN=eth3 OUT=br0 MAC=MAC_ADDR_1 SRC=2a02:xxxx:c310:a5a0:81eb:84c7:22af:7539 DST=My_IPv6_IP_ADDR LEN=78 TC=0 HOPLIMIT=43 FLOWLBL=0 PROTO=UDP SPT=23103 DPT=63282 LEN=38 
Jun 29 18:45:06 kernel: DROP IN=eth3 OUT=br0 MAC=MAC_ADDR_1 SRC=2601:xxxx:8380:06b8:5d87:46c7:7e85:08c9 DST=My_IPv6_IP_ADDR LEN=72 TC=0 HOPLIMIT=42 FLOWLBL=0 PROTO=TCP SPT=52362 DPT=63282 SEQ=3069346662 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405A00103030201010402) 
Jun 29 18:45:08 kernel: DROP IN=eth3 OUT=br0 MAC=MAC_ADDR_1 SRC=2a02:xxxx:c310:a5a0:81eb:84c7:22af:7539 DST=My_IPv6_IP_ADDR LEN=68 TC=0 HOPLIMIT=43 FLOWLBL=0 PROTO=TCP SPT=58249 DPT=63282 SEQ=1653524828 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405A001010402) 
Jun 29 18:45:09 kernel: DROP IN=eth3 OUT=br0 MAC=MAC_ADDR_1 SRC=2601:xxxx:8380:06b8:5d87:46c7:7e85:08c9 DST=My_IPv6_IP_ADDR LEN=72 TC=0 HOPLIMIT=42 FLOWLBL=0 PROTO=TCP SPT=52362 DPT=63282 SEQ=3069346662 ACK=0 WINDOW=8192 RES=0x00 SYN URGP=0 OPT (020405A00103030201010402) 

Aqui está o conteúdo do arquivo ip6t_filter.default do roteador:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:maclist - [0:0]
:bfplimit - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i br0 -j ACCEPT
-A INPUT -p 58 ! --icmpv6-type echo-request -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p udp --sport 547 --dport 546 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -p 58 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -o br0 -j DROP
-A logaccept -m state --state NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logaccept -j ACCEPT
-A logdrop -m state --state NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options
-A logdrop -j DROP
COMMIT

Esta é a interface br0 :

br0       Link encap:Ethernet  HWaddr AA:BB:49:E3:62:8E
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: IPv6_1 Scope:Global
          inet6 addr: fe80::e23f:49ff:fee3:628e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2233491 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1930092 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:998010242 (951.7 MiB)  TX bytes:348204643 (332.0 MiB)

Esta é a interface eth3 :

eth3      Link encap:Ethernet  HWaddr MAC_ADDR_1
          inet addr:MyIPv4_HOST_ADDR  Bcast:X.Y.223.255  Mask:255.255.224.0
          inet6 addr: IPv6_2 Scope:Global
          inet6 addr: fe80::e23f:49ff:fee3:628d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9909832 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15334176 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1243667320 (1.1 GiB)  TX bytes:19852159929 (18.4 GiB)
    
por chuacw 29.06.2014 / 13:18

1 resposta

2

Seus DROPs estão marcados como TCP SYN. SYN significa uma nova conexão TCP vinda do mundo exterior. Então, para começar, a resposta ingênua é

-A FORWARD -m state --state NEW -j ACCEPT

Mas (já que você tem que perguntar) você não quer realmente fazer isso. Você precisa de algo mais 'apropriado'.

Porque alguém irá ingenuamente conectar uma impressora, NAS, dispositivo Windows com firewall definido como "Home", também conhecido como "rede privada". Ou qualquer outro dispositivo que ofereça um serviço em sua rede, para o qual as redes são, afinal. Em seguida, a Internet disponibilizará a impressora ou o NAS ou os arquivos compartilhados pelo dispositivo Windows. Desculpe, a segurança é uma merda.

Se você procurar padrões para roteadores IPv6 de consumo ("CPE"), descobrirá que eles exigem um firewall com estado como seu roteador.

Quando você deseja executar um servidor, o ideal seria usar uma máquina dedicada em uma rede "DMZ" separada. Ou seja uma porta de rede separada no roteador principal, que não é conectada à sua LAN doméstica. Por exemplo, se você deseja hospedar um blog, isso fornece uma camada de proteção para seus PCs quando alguém encontra uma vulnerabilidade no software de blog.

Quando você deseja executar um dispositivo direcionado ao consumidor com um suporte de segurança abjeto [1] como um NAS de "nuvem privada", câmera IP, etc. conectado diretamente à sua LAN, vale observar como isso geralmente funciona com o IPv4. Eles usarão principalmente o encaminhamento de porta UPnP [2], e se isso falhar, eles lhe dirão para configurar manualmente uma porta para frente [3] em seu roteador. É também como o compartilhamento de arquivos peer-to-peer, como o BitTorrent, funciona.

Isso pode funcionar da mesma forma no IPv6, exceto que, tecnicamente, você não está encaminhando a porta, apenas desbloqueando-a. (O endereço IP ao qual as pessoas se conectam será o IP da máquina, em vez do do roteador).

O encaminhamento de porta do uPnP não funciona para o IPv6. Existe um equivalente chamado PCP (baseado no NAT-PMP da Apple para IPv4). Tenho certeza que vou me acostumar com o BitTorrent, mas meu palpite desinformado não é relevante no seu caso.

Para o controle de porta manual (ambos v4 / v6), é necessário atribuir um endereço IP fixo ao dispositivo para que você possa identificá-lo permanentemente. Então você pode [4]

-A FORWARD -p tcp -d YOUR_MACHINE_IPV6_ADDRESS --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

e o mesmo para a sua porta 63282, ou qualquer porta que você queira expor na Internet.

Isso mantém sua política de firewall centralizada no roteador. (Se você desbloquear todas as portas, você precisa ficar de olho em i) executar serviços na máquina ii) o firewall do host na máquina iii) o roteador ainda).

Como sua rede é conectada, presumo que isso funcionará mesmo que sua máquina alterne entre as interfaces com e sem fio do roteador. (Porque funcionará com o mesmo endereço IP em ambos).

[1] link
[2] link
[3] link
[4] Stolen ^ W Adaptado da versão IPv4 em link

    
por 29.06.2014 / 15:20