Какие ICMPv6 пакеты нужно разрешить на фаерволе?

Да чего уж мелочиться, руби сразу провод.
P.S. Оставь беднягу ICMP в покое.

Оно спамит в логи, если не запретить (тема рядом), поэтому надо запрещать.

ICMPv6 если не знаешь точно что делаешь - оставь в покое. Скорее всего ты неочевидно сломаешь что-то и будешь страдать не понимая что за херня.

А tcpdump запускать не пробовал?
Ты удивишься, сколько там TCP и UDP пакетов логируется.
Так что запрещай сразу до кучи и их. Ахахах.
P.S. fe80:: это https://ru.wikipedia.org/wiki/Link-local_address

Потому и спрашиваю тут, чтобы знать точно. В покое оставить не вариант, оно спамит в логах и вообще какие-то левые пакеты мне на интерфейс приходят, мне это не нравится. Зачем мне вообще на интерфейсе пакеты, у которых назначение это не мой адрес? Разве я смогу с ними что-нибудь сделать?

А tcpdump запускать не пробовал?

Пробовал.

Ты удивишься, сколько там TCP и UDP пакетов логируется.

Не удивлюсь. Оно логгируется в pflog и забивает диск.

Так что запрещай сразу до кучи и их. Ахахах.

С TCP и UDP у меня вопросов нет, их я запретил, это не проблема.

P.S. fe80:: это https://ru.wikipedia.org/wiki/Link-local_address

Я в курсе, но это не мой адрес. У меня другой.

Вот теперь я точно нифига не понял.
А нахрен тебе вообще тогда сеть?

Я в курсе, но это не мой адрес. У меня другой.

Ты спросил, что за странные адреса с fe80::, я ответил.

Вот теперь я точно нифига не понял. А нахрен тебе вообще тогда сеть?

Я дропаю все пакеты кроме нескольких разрешённых портов. Что тут непонятного? Стандартная практика же: всё запрещено, кроме того, что разрешено.

Я не совсем до конца понимаю, как это всё работает, не будет ли вреда, если я запрещу весь ICMP 6 кроме пинг-запросов на мой IP?

будет

Там всякие ndp не сломаются?

сломаются

Зачем мне вообще на интерфейсе пакеты, у которых назначение это не мой адрес?

Это мультикаст, скорее всего. NDP его использует.

Это мультикаст, скорее всего. NDP его использует.

Мультикаст вроде это ff00, если верить википедии. А ко мне fe80 приходят. Я думаю, что это криво настроен свич.

А какие именно у тебя сообщения в логах? Возможно, эти сообщения генерируются еще до того, как их обработает пакетный фильтр. Бывает, что логи зафлужены сообщениями вида «martian packet», это именно оно.

Лишние логи в pflog. Я предполагаю, что эти пакеты чем-то не нравятся ядру и он их пропускает, но с пометкой логгирования (потому, что другие пакеты он так не логгирует). Но точного фильтра не нашёл, пока никто не подсказал, где это может быть. Если сделать block, то ничего не логгирует, поэтому я и пытаюсь как минимум заблокировать эти пакеты, не навредив остальному.

Лишние логи в pflog

Так, стоп, это BSD? Можно было бы хотя бы указать в тегах...

BSD это в другой теме. Эта тема общая - IPv6 везде одинаковый же.

В общем, если я правильно понимаю принцип работы ethernet, то в ситуации, когда у коммутатора в таблице mac-адресов нет какого-то адреса назначения, он рассылает его всем хостам. Или же такое происходит, если адрес назначения - широковещательный mac. По этому в общем случае, нет ничего удивительного, что такие пакеты приходят на твой интерфейс. Даже если в файрволе нет никаких правил, они все равно будут проигнорированы.
А вот как такие вещи логируются разными системами я в подробностях не знаю, и посоветовать ничего не могу.

А ко мне fe80 приходят.

Без pcap это всё гадание на кофейной гуще.

pcap or it didn't happen.

TL;DR: ты маешься фигнёй. Оставь icmp6 и логи в покое. Разберись сначала, как оно работает, а уже потом химич с pf.

fe80 - это LL source address, FF** - это дест. Возможно у свитча есть какой-то management работающий поверх мультикаста.

мультикаст ты не уберёшь, на нём много чего завязано. Если параноик - читай RFC и явно разрешай необходимые, но не удивляйся что читать очень много.

По юникасту ты можешь порезать всё что не твой LL и не твои link-global, если конечно это не роутер, но и там есть нюансы.

Короче, если не собираешься разбираться, то перестань страдать хернёй, оставь icmp в покое и если раздражает убери из логов мультикаст группы.

Chain icmpv6_pass (2 references)
 pkts bytes target     prot opt in     out     source               destination
 109K   26M ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 1
    2  2560 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 2
 2439  717K ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 3
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 4
36088 1894K ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 128
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 129
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 134 HL match HL == 255
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 135 HL match HL == 255
  647 46584 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 136 HL match HL == 255

5 лет назад написал, вызов цепочек из INPUT и FORWARD, проблем нет