Jump to content
Калькуляторы

default IPv6 firewall filter rules

Reply to this topic

shraikus   

shraikus
Posted

Добрый день, а подскажите стандартный "default IPv6 firewall filter rules" для домашнего использования.

(интернет приходит подсетью /64)

В микротике как-то пусто по умолчанию, а ведь надо бдить и не пущать :)

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

смысл главного правила это повторить аналог NAT для ipv4, т.е. закрыться от входящих соединений извне, на языке шлакотика типа такого:

 

/ipv6 firewall filter

chain=forward dst-address=LAN-network/prefix connection-state=new action=drop

 

Кстати, очень правильную тему подняли. А то ведь люди тут прям фапают на ipv6, при этом забывая, что на тех же мобильных телефонах куча портов слушается, через которые хацкеры могут всё сломать (ибо прошивки-то не особо обновляются на телефонах постарше)

 

Т.е. ipv6 по факту оооочень опасен для абонента, если в роутера этого правила нет

Share this post

Link to post
Share on other sites

.None   

.None
Posted (edited)

у меня также само как и на ipv4, только ipv6 приходит через туннель 

/ipv6 firewall filter
add action=accept chain=input connection-state=established,related in-interface=6to4-tunnel-office-ipsec
add action=accept chain=input in-interface=6to4-tunnel-office-ipsec protocol=icmpv6
add action=drop chain=input in-interface=6to4-tunnel-office-ipsec
add action=accept chain=forward connection-state=established,related in-interface=6to4-tunnel-office-ipsec
add action=accept chain=forward in-interface=6to4-tunnel-office-ipsec protocol=icmpv6
add action=drop chain=forward in-interface=6to4-tunnel-office-ipsec

 

Edited by .None

Share this post

Link to post
Share on other sites

8bit   

8bit
Posted (edited)

Убрали лишнее с защитой от брутфоса ssh (куда ничего ни разу не прилетело), что скажете? 

  

/ipv6 firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related in-interface=sit1
add action=accept chain=forward connection-state=established,related in-interface=sit1 out-interface=home
add action=accept chain=input limit=50,5 protocol=icmpv6
add action=accept chain=forward limit=50,5 protocol=icmpv6
add action=accept chain=forward in-interface=home out-interface=sit1
add action=drop chain=input
add action=drop chain=forward


 

Edited by 8bit

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

Всё хорошо, кроме этого: 

add action=accept chain=forward limit=50,5 protocol=icmpv6

Зачем вам это? потом окажется, что какой-нибудь специально сформированный icmp-запрос позволяет что-нибудь сделать с ведром линукса.

 

В инпуте icmpv6 от всех хостов - тоже сомнительная вещь. Если вы мониторите извне, то пропишите там ipv6-адрес сервера мониторинга

Share this post

Link to post
Share on other sites

8bit   

8bit
Posted

Хорошо, спасибо.

А если я хочу открыть доступ до конкретной машины, конкретного порта, то вот так тоже будет нормально: 

chain=forward action=accept protocol=tcp dst-address=            /128 in-interface=sit1 dst-port=80 
chain=forward action=accept protocol=tcp dst-address=            /128 in-interface=sit1 dst-port=443

 

Share this post

Link to post
Share on other sites

.None   

.None
Posted

в последних 2-х правилах я бы прописал in-interface=sit1, иначе как DNS клиент обратится к DNS микротика по ipv6

IMHO имеет смыл защищаться извне, зачем из LAN все дропать?

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted
4 минуты назад, .None сказал:

в последних 2-х правилах я бы прописал in-interface=sit1, иначе как DNS клиент обратится к DNS микротика по ipv6

IMHO имеет смыл защищаться извне, зачем из LAN все дропать?

А почему вы решили что у опа dns на микротике?

 

Дропать из лана всё, что явно не разрешено это абсолютно правильно, потому что атаки на домашние роутеры происходят не только извне, но и изнутри (когда пользователь внутри сети запускает у себя вредоносный софт)

Share this post

Link to post
Share on other sites

8bit   

8bit
Posted
2 часа назад, .None сказал:

как DNS клиент обратится к DNS микротика по ipv6

 

DNS использую публичный от google, возможно не самая лучшая идея, но и проблем пока не было. 

  

2001:4860:4860::4444
2001:4860:4860::8888

 

Share this post

Link to post
Share on other sites

rm_   

rm_
Posted
On 4/26/2018 at 12:24 PM, s.lobanov said:

Зачем вам это? потом окажется, что какой-нибудь специально сформированный icmp-запрос позволяет что-нибудь сделать с ведром линукса.

 

В инпуте icmpv6 от всех хостов - тоже сомнительная вещь. Если вы мониторите извне, то пропишите там ipv6-адрес сервера мониторинга

Затем что зарезав ICMP Packet Too Big вы поломаете PMTU discovery, а она жизненно необходима на IPv6, поскольку фрагментации-то на роутерах нет.

Некоторые ресурсы будут зависать при открытии соединения, потом закономерно создадите себе впечатление "ой какой плохой и поломанный ваш IPv6".

https://tools.ietf.org/html/rfc4890 Recommendations for Filtering ICMPv6 Messages in Firewalls

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

фрагментации и в ipv4 по факту нет (она зарезана оооочень много где) и люди, которые используют udp (в реальном мире, а не в теории), просто делают пакетики поменьше на уровне приложения. Для tcp есть всё тот же tcp.mss

 

Для домашнего(soho юзкейса) использования pmtu discovery не нужен

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik коммутаторы и маршрутизаторы