[MontelLUG] ip6tables

[Samuele]

On 20/08/2010 16:46, Luca 'remix_tj' Lorenzetto wrote:
> 2010/8/20 Samuele<samuele.zanin a tiscali.it>:
>    
>> Eora, sono riuscito ad avere un tunnel ipv6 con sixxs.
>> Il primo passo, dopo aver avuto il tunne, è quello di impedire a pigs&  dogs
>> di entrare sul pc.
>> Io pensavo di applicare le stesse regole di firewall che usavo con ipv4 (su
>> internet dicono che non dovrebbe cambiare nulla nel modo di lavorare di
>> iptables da una versione all'altra).
>>      
> [cut]
>
> Infatti non cambia niente, netfilter e' sempre lo stesso sotto :-)
>
>    
>> Questo è lo script. sixxs è il nome dell'interfaccia ipv6. [cut]
>> Perché riprenda a funzionare devo cambiare la policy predefinita di input da
>> DROP ad ACCEPT.
>> Ma non xe so mare bona.
>>
>>      
> uhm...ma se fai un tcpdump -i sixxs vedi arrivare il traffico? e se
> fai tcpdump -p -i sixxs arriva ancora?
>
> Dovresti, secondo me mettere un -A INPUT -i eth0 -j ACCEPT. visto che
> i pacchetti ipv6 passano encapsulati su pacchetti v4, e magari
> ip6tables guarda troppo oltre...
>
>    
Penso di avere trovato. E' il modulo di connection tracking che fa casino.
Le connessioni in uscita vanno, ma non riconosce i pacchetti in entrata 
relativi alle connessioni in uscita.
Ricercando, ho visto che in passato questo modulo ha dato rogne. C'è chi 
si lamenta che sul kernel 2.6.32-5-openvz non è abilitato il modulo in 
fase di compila del kernel. Sul mio ho verificato, il modulo è abilitato 
e viene anche caricato.
Ho aggiunto anche una regola che abilita icmpv6. Leggevo che con ipv6 è 
obbligatorio lasciar passare il traffico icmp.
Cosa sia a questo punto, non lo so. Squeeze è stata frezzata e il kernel 
che ho io sarà quello ufficiale.

>> Altra cosa, vedo che su ip6tables non hanno ancora implementato la tabella
>> di nat.
>> Me pol star ben che ghe xe pi indirizzi ip che  metri quadri de terra in
>> tutto el mondo, ma, il nat è utile quando si vuol far credere ad un host che
>> c'è un solo pc che si sta collegando invece che n (oltre che anche per
>> tirarti fuori dai casini in altre situazioni).
>>      
> NAT non serve a niente con ipv6. Gli host su internet devono essere
> direttamente raggiungibili e devono poter instaurare direttamente
> connessioni tra loro senza intermediari di livello piu' alto del 3.
> Quello che vorresti fare tu e' un barbatrucco nato per la carenza di
> IPv4 pubblici, e non ha nessuna altra utilita'. Gli host dietro nat
> non sono nascosti, perche', come puoi leggere su questo paper [1],
> sono identificabili.
>
>    
Sul fatto che siano identificabili andando a fare un'analisi dei 
pacchetti, non lo metto in dubbio.
Il fatto poi di far credere ad un host di avere un ip piuttosto che un 
altro, a me è capitato che facesse comodo. Es.: host A, normalmente si 
collega ad host B. Voglio fare delle prove su host C, faccio una regola 
di firewall che prende tutte le connessioni da A verso B e le spara a C. 
Il tutto senza dover andare a mettere le mani sulla configurazione di A 
fin tanto che il passaggio da B a C non sarà definitivo.