Blocka portar på klienter bakom brandvägg? (äkta IP-adresse)

[Emil.s]

Hm, en baksida av mitt IPv6 projekt är nu att alla datorer här hemma är tillgängliga direkt över internet...

Hur funkar det i en "riktig" brandvägg? Med NAT så är det ju bara att blocka på INPUT, tillåta på OUTPUT, och tillåta etablerad trafik.
Men hur blir det då man kör en "äkta" router, och vill bockera portar till insidan?

Input gäller väl bara anslutningar adressen på det egna interfacet? Resten an nätet släpps väl på?
Lägger man en "-P DROP" på FORWARD så dör ju alltihop...

Vill att klienterna på insidan ska kunna surfa och ansluta utåt, procis som vanligt. Men man ska inte kunna SSHa in på dem utifrån osv.

[maths57]

Funkar det inte med att sätta policyn för INPUT till DROP som vanligt? Det borde filtrera bort all trafik. Eller gäller inte det IPv6?

[Emil.s]

Funkar det inte med att sätta policyn för INPUT till DROP som vanligt? Det borde filtrera bort all trafik. Eller gäller inte det IPv6?

Jo, men då kommer väl inte klienterna bakom ut på nätet alls?

Ang IPv4/6 så är det nästan lika, bara att man använder "ip6tables" för IPv6.

[tann]

det borde väl va så att brandväggen skickar paketen vidare och att du därmed ska sätta eventuella regler på FORWARD-kedjan?

[Emil.s]

det borde väl va så att brandväggen skickar paketen vidare och att du därmed ska sätta eventuella regler på FORWARD-kedjan?

Troligen ja... Har dock ingen aning om vad det ska vara för regler...

[tann]

iptables -A FORWARD -d destinationsip --dport 22 -j DROP

eller ngt sånt... ev lägga till -i och -o för input- och output-interface

[Emil.s]

iptables -A FORWARD -d destinationsip --dport 22 -j DROP

eller ngt sånt... ev lägga till -i och -o för input- och output-interface

Mjo, men då är ju allt annat öppet instället. Vill ha som vanligt: Default policy = Drop, och sen tillåta svar på utgående anslutningar.

[tann]

låt oss säga att eth1 är interna nätverkskortet och eth0 är mot internet

Kod: Markera allt

iptables -P DROP
iptables –A FORWARD –i eth1 –o eth0 –p tcp –j ACCEPT
iptables –A FORWARD –p tcp –i eth0 –o eth1 –m state --state ESTABLISHED,RELATED –j ACCEPT

typ

[maths57]

Släpper bara igenom det som någon från insidan har frågat efter.

Kod: Markera allt

iptables -A INPUT -i <outer_nic> -m state --state ESTABLISHED,RELATED -j ACCEPT

Släpper ut allt och alla från insidan.

Kod: Markera allt

iptables -A OUTPUT -o <outer_nic> -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

[tann]

Släpper bara igenom det som någon från insidan har frågat efter.

Kod: Markera allt

iptables -A INPUT -i <outer_nic> -m state --state ESTABLISHED,RELATED -j ACCEPT

Släpper ut allt och alla från insidan.

Kod: Markera allt

iptables -A OUTPUT -o <outer_nic> -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

går forwardade paket verkligen genom input och outputkedjorna?

[maths57]

går forwardade paket verkligen genom input och outputkedjorna?

Du har alldeles rätt! Nej, det gör det inte. input är ju in till själva maskinen. Med vad jag undrar då är, om det går att filtrera tabellen mangle och kedjan prerouting? Har inte koll på det.

[tann]

vanligaste är väl isf att man t.ex. kör ett paket via prerouting och DNAT:ar det kanske? typ till en webserver i ett DMZ. eftersom detta sedan behandlas som en forward så kan man sätta reglerna där.

[Emil.s]

Dock finns ju inte prerouting, eller NAT osv i IPv6...

Men jag ska prova tann's förslag, ser ju ok ut.

[Emil.s]

Sådär då.

Funkade inte med att bara ange interfacen, men med "-s" och "-d" så var det inga problem. Iof så behövs ju inte -d heller... Efter at ha provat med lite allt möjligt så ser det nu ut så här:

Kod: Markera allt

 79 # Forvard för IPv6 nätet:
 80 $IP6TABLES -A FORWARD -s $LOCAL6 -j ACCEPT
 81 $IP6TABLES -A FORWARD -d $LOCAL6 -m state --state ESTABLISHED,RELATED -j ACCEPT
 82 # ICMPv6 för klienterna bakom:
 83 $IP6TABLES -A FORWARD -p icmpv6 -j ACCEPT

LOCAL6='mitt:ip:v6:nät::/64'

[maths57]

Så det funkade? Lysande! Intressant att man kan använda statful inspektion i FORWARD.

[Emil.s]

Så det funkade? Lysande! Intressant att man kan använda statful inspektion i FORWARD.

Ja, kände mig lite osäker på dan biten jag med. Men det funkar utmärkt. Så nu är vi alla något visare.