LINUX.ORG.RU
ФорумAdmin

Какие ICMPv6 пакеты нужно разрешить на фаерволе?

 ,


0

1

На интерфейс прилетают кучи странных пакетов со странными адресами источника и получателя вида fe80:.... Я не совсем до конца понимаю, как это всё работает, не будет ли вреда, если я запрещу весь ICMP 6 кроме пинг-запросов на мой IP? Там всякие ndp не сломаются? У меня тупо один адрес (не подсеть), сконфигурированный статически, никакими броадкастами не пользуюсь, по крайней мере осознанно. NDP мне вроде бы тоже не нужен, но я не уверен.

★★★★★

ICMPv6 если не знаешь точно что делаешь - оставь в покое. Скорее всего ты неочевидно сломаешь что-то и будешь страдать не понимая что за херня.

Dark_SavanT ★★★★★ ()
Ответ на: комментарий от Dark_SavanT

Потому и спрашиваю тут, чтобы знать точно. В покое оставить не вариант, оно спамит в логах и вообще какие-то левые пакеты мне на интерфейс приходят, мне это не нравится. Зачем мне вообще на интерфейсе пакеты, у которых назначение это не мой адрес? Разве я смогу с ними что-нибудь сделать?

Legioner ★★★★★ ()
Ответ на: комментарий от Sorcus

А tcpdump запускать не пробовал?

Пробовал.

Ты удивишься, сколько там TCP и UDP пакетов логируется.

Не удивлюсь. Оно логгируется в pflog и забивает диск.

Так что запрещай сразу до кучи и их. Ахахах.

С TCP и UDP у меня вопросов нет, их я запретил, это не проблема.

P.S. fe80:: это https://ru.wikipedia.org/wiki/Link-local_address

Я в курсе, но это не мой адрес. У меня другой.

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

Вот теперь я точно нифига не понял.
А нахрен тебе вообще тогда сеть?

Я в курсе, но это не мой адрес. У меня другой.

Ты спросил, что за странные адреса с fe80::, я ответил.

Sorcus ()
Ответ на: комментарий от Sorcus

Вот теперь я точно нифига не понял. А нахрен тебе вообще тогда сеть?

Я дропаю все пакеты кроме нескольких разрешённых портов. Что тут непонятного? Стандартная практика же: всё запрещено, кроме того, что разрешено.

Legioner ★★★★★ ()

Я не совсем до конца понимаю, как это всё работает, не будет ли вреда, если я запрещу весь ICMP 6 кроме пинг-запросов на мой IP?

будет

Там всякие ndp не сломаются?

сломаются

Зачем мне вообще на интерфейсе пакеты, у которых назначение это не мой адрес?

Это мультикаст, скорее всего. NDP его использует.

ivlad ★★★★★ ()
Ответ на: комментарий от ivlad

Это мультикаст, скорее всего. NDP его использует.

Мультикаст вроде это ff00, если верить википедии. А ко мне fe80 приходят. Я думаю, что это криво настроен свич.

Legioner ★★★★★ ()

А какие именно у тебя сообщения в логах? Возможно, эти сообщения генерируются еще до того, как их обработает пакетный фильтр. Бывает, что логи зафлужены сообщениями вида «martian packet», это именно оно.

Khnazile ★★★★★ ()
Ответ на: комментарий от Khnazile

Лишние логи в pflog. Я предполагаю, что эти пакеты чем-то не нравятся ядру и он их пропускает, но с пометкой логгирования (потому, что другие пакеты он так не логгирует). Но точного фильтра не нашёл, пока никто не подсказал, где это может быть. Если сделать block, то ничего не логгирует, поэтому я и пытаюсь как минимум заблокировать эти пакеты, не навредив остальному.

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

В общем, если я правильно понимаю принцип работы ethernet, то в ситуации, когда у коммутатора в таблице mac-адресов нет какого-то адреса назначения, он рассылает его всем хостам. Или же такое происходит, если адрес назначения - широковещательный mac. По этому в общем случае, нет ничего удивительного, что такие пакеты приходят на твой интерфейс. Даже если в файрволе нет никаких правил, они все равно будут проигнорированы.
А вот как такие вещи логируются разными системами я в подробностях не знаю, и посоветовать ничего не могу.

Khnazile ★★★★★ ()
Ответ на: комментарий от Legioner

А ко мне fe80 приходят.

Без pcap это всё гадание на кофейной гуще.

pcap or it didn't happen.

ivlad ★★★★★ ()

TL;DR: ты маешься фигнёй. Оставь icmp6 и логи в покое. Разберись сначала, как оно работает, а уже потом химич с pf.

beastie ★★★★★ ()
Ответ на: комментарий от Legioner

fe80 - это LL source address, FF** - это дест. Возможно у свитча есть какой-то management работающий поверх мультикаста.

Dark_SavanT ★★★★★ ()
Ответ на: комментарий от Legioner

мультикаст ты не уберёшь, на нём много чего завязано. Если параноик - читай RFC и явно разрешай необходимые, но не удивляйся что читать очень много.

По юникасту ты можешь порезать всё что не твой LL и не твои link-global, если конечно это не роутер, но и там есть нюансы.

Короче, если не собираешься разбираться, то перестань страдать хернёй, оставь icmp в покое и если раздражает убери из логов мультикаст группы.

Dark_SavanT ★★★★★ ()
Последнее исправление: Dark_SavanT (всего исправлений: 1)
Chain icmpv6_pass (2 references)
 pkts bytes target     prot opt in     out     source               destination
 109K   26M ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 1
    2  2560 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 2
 2439  717K ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 3
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 4
36088 1894K ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 128
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 129
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 134 HL match HL == 255
    0     0 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 135 HL match HL == 255
  647 46584 ACCEPT     icmpv6    *      *       ::/0                 ::/0                 ipv6-icmptype 136 HL match HL == 255

5 лет назад написал, вызов цепочек из INPUT и FORWARD, проблем нет

Rost ★★★★★ ()
Последнее исправление: Rost (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.