[MontelLUG] ip6tables

Luca 'remix_tj' Lorenzetto lorenzetto.luca a gmail.com
Ven 20 Ago 2010 16:46:16 CEST 

2010/8/20 Samuele <samuele.zanin a tiscali.it>:
> Eora, sono riuscito ad avere un tunnel ipv6 con sixxs.
> Il primo passo, dopo aver avuto il tunne, è quello di impedire a pigs & dogs
> di entrare sul pc.
> Io pensavo di applicare le stesse regole di firewall che usavo con ipv4 (su
> internet dicono che non dovrebbe cambiare nulla nel modo di lavorare di
> iptables da una versione all'altra).
[cut]

Infatti non cambia niente, netfilter e' sempre lo stesso sotto :-)

>
> Questo è lo script. sixxs è il nome dell'interfaccia ipv6. [cut]
> Perché riprenda a funzionare devo cambiare la policy predefinita di input da
> DROP ad ACCEPT.
> Ma non xe so mare bona.
>

uhm...ma se fai un tcpdump -i sixxs vedi arrivare il traffico? e se
fai tcpdump -p -i sixxs arriva ancora?

Dovresti, secondo me mettere un -A INPUT -i eth0 -j ACCEPT. visto che
i pacchetti ipv6 passano encapsulati su pacchetti v4, e magari
ip6tables guarda troppo oltre...

> Altra cosa, vedo che su ip6tables non hanno ancora implementato la tabella
> di nat.
> Me pol star ben che ghe xe pi indirizzi ip che  metri quadri de terra in
> tutto el mondo, ma, il nat è utile quando si vuol far credere ad un host che
> c'è un solo pc che si sta collegando invece che n (oltre che anche per
> tirarti fuori dai casini in altre situazioni).

NAT non serve a niente con ipv6. Gli host su internet devono essere
direttamente raggiungibili e devono poter instaurare direttamente
connessioni tra loro senza intermediari di livello piu' alto del 3.
Quello che vorresti fare tu e' un barbatrucco nato per la carenza di
IPv4 pubblici, e non ha nessuna altra utilita'. Gli host dietro nat
non sono nascosti, perche', come puoi leggere su questo paper [1],
sono identificabili.

>
> A parte le rfc, avete trovato qualche altro tutorial degno di tale nome che
> spieghi per bene ed in modo organico ipv6? Ho solo beccato slide e altre
> paginette che liquidano tutta la questione in poche righe.
>

Tutorial veri e propri no. Diciamo che ho sempre fatto un po' per
conto mio e ho acquistato su amazon anche un bel librone di cisco che
devo ancora cominciare a guardare. Al momento sono riuscito, a lavoro,
a costruire una piccola lan locale con una rete /64 annunciata e dei
client di piu' OS.



[1] http://www.cs.columbia.edu/~smb/papers/fnat.pdf

-- 
"E' assurdo impiegare gli uomini di intelligenza eccellente per fare
calcoli che potrebbero essere affidati a chiunque se si usassero delle
macchine"
Gottfried Wilhelm von Leibnitz, Filosofo e Matematico (1646-1716)

"Internet è la più grande biblioteca del mondo.
Ma il problema è che i libri sono tutti sparsi sul pavimento"
John Allen Paulos, Matematico (1945-vivente)

Luca 'remix_tj' Lorenzetto, http://www.dancetj.net , <lorenzetto.luca a gmail.com>

More information about the montellug mailing list