[MontelLUG] ip6tables
Luca 'remix_tj' Lorenzetto
lorenzetto.luca a gmail.com
Ven 20 Ago 2010 18:55:14 CEST
2010/8/20 Samuele <samuele.zanin a tiscali.it>:
> On 20/08/2010 16:46, Luca 'remix_tj' Lorenzetto wrote:
>>
>> 2010/8/20 Samuele<samuele.zanin a tiscali.it>:
>>
>>>
>>> Eora, sono riuscito ad avere un tunnel ipv6 con sixxs.
>>> Il primo passo, dopo aver avuto il tunne, è quello di impedire a pigs&
>>> dogs
>>> di entrare sul pc.
>>> Io pensavo di applicare le stesse regole di firewall che usavo con ipv4
>>> (su
>>> internet dicono che non dovrebbe cambiare nulla nel modo di lavorare di
>>> iptables da una versione all'altra).
>>>
>>
>> [cut]
>>
>> Infatti non cambia niente, netfilter e' sempre lo stesso sotto :-)
>>
>>
>>>
>>> Questo è lo script. sixxs è il nome dell'interfaccia ipv6. [cut]
>>> Perché riprenda a funzionare devo cambiare la policy predefinita di input
>>> da
>>> DROP ad ACCEPT.
>>> Ma non xe so mare bona.
>>>
>>>
>>
>> uhm...ma se fai un tcpdump -i sixxs vedi arrivare il traffico? e se
>> fai tcpdump -p -i sixxs arriva ancora?
>>
>> Dovresti, secondo me mettere un -A INPUT -i eth0 -j ACCEPT. visto che
>> i pacchetti ipv6 passano encapsulati su pacchetti v4, e magari
>> ip6tables guarda troppo oltre...
>>
>>
>
> Penso di avere trovato. E' il modulo di connection tracking che fa casino.
> Le connessioni in uscita vanno, ma non riconosce i pacchetti in entrata
> relativi alle connessioni in uscita.[cut]
> Ho aggiunto anche una regola che abilita icmpv6. Leggevo che con ipv6 è
> obbligatorio lasciar passare il traffico icmp.
> Cosa sia a questo punto, non lo so. Squeeze è stata frezzata e il kernel che
> ho io sarà quello ufficiale.
>
[cut]
Eh, qua non ho idea. Devi googlare perche' non mi viene in mente
niente. Sicuramente su v4 funziona il conntrack, magari sulle
pseudointerfacce non funziona bene.... ah, usi l'interfaccia sit
oppure iproute2 per fare il tunnel?
[cut]
>>
>
> Sul fatto che siano identificabili andando a fare un'analisi dei pacchetti,
> non lo metto in dubbio.
> Il fatto poi di far credere ad un host di avere un ip piuttosto che un
> altro, a me è capitato che facesse comodo. Es.: host A, normalmente si
> collega ad host B. Voglio fare delle prove su host C, faccio una regola di
> firewall che prende tutte le connessioni da A verso B e le spara a C. Il
> tutto senza dover andare a mettere le mani sulla configurazione di A fin
> tanto che il passaggio da B a C non sarà definitivo.
>
Heh... bella questione. Comunque hai millemila indirizzi quindi
potresti usare un indirizzo per B, uno per C e uno che sposti tra B e
C quando vuoi fare il cambio. A si collega semrpe a quest'ultimo.
considera comunque che se B e C sono sulla stessa rete li puoi far
parlare con gli address di scope Local Link, e tenere un solo
indirizzo di tipo Global sulla macchina in linea.
Diciamo che sono sempre questioni di barbatrucchi e ci vuole un
barbagegnere cisco per darci la soluzione.
/me corre a raspare nel libro in cerca di una bella risposta.
Ciao ciao
Luca
--
"E' assurdo impiegare gli uomini di intelligenza eccellente per fare
calcoli che potrebbero essere affidati a chiunque se si usassero delle
macchine"
Gottfried Wilhelm von Leibnitz, Filosofo e Matematico (1646-1716)
"Internet è la più grande biblioteca del mondo.
Ma il problema è che i libri sono tutti sparsi sul pavimento"
John Allen Paulos, Matematico (1945-vivente)
Luca 'remix_tj' Lorenzetto, http://www.dancetj.net , <lorenzetto.luca a gmail.com>
More information about the montellug
mailing list