[shraikus]

Добрый день, а подскажите стандартный "default IPv6 firewall filter rules" для домашнего использования.

(интернет приходит подсетью /64)

В микротике как-то пусто по умолчанию, а ведь надо бдить и не пущать :)

[s.lobanov]

смысл главного правила это повторить аналог NAT для ipv4, т.е. закрыться от входящих соединений извне, на языке шлакотика типа такого:

 

/ipv6 firewall filter

chain=forward dst-address=LAN-network/prefix connection-state=new action=drop

 

Кстати, очень правильную тему подняли. А то ведь люди тут прям фапают на ipv6, при этом забывая, что на тех же мобильных телефонах куча портов слушается, через которые хацкеры могут всё сломать (ибо прошивки-то не особо обновляются на телефонах постарше)

 

Т.е. ipv6 по факту оооочень опасен для абонента, если в роутера этого правила нет

[.None]

у меня также само как и на ipv4, только ipv6 приходит через туннель

/ipv6 firewall filter
add action=accept chain=input connection-state=established,related in-interface=6to4-tunnel-office-ipsec
add action=accept chain=input in-interface=6to4-tunnel-office-ipsec protocol=icmpv6
add action=drop chain=input in-interface=6to4-tunnel-office-ipsec
add action=accept chain=forward connection-state=established,related in-interface=6to4-tunnel-office-ipsec
add action=accept chain=forward in-interface=6to4-tunnel-office-ipsec protocol=icmpv6
add action=drop chain=forward in-interface=6to4-tunnel-office-ipsec

 

Изменено 25 апреля, 2018 пользователем .None

[8bit]

Убрали лишнее с защитой от брутфоса ssh (куда ничего ни разу не прилетело), что скажете? 

 

/ipv6 firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related in-interface=sit1
add action=accept chain=forward connection-state=established,related in-interface=sit1 out-interface=home
add action=accept chain=input limit=50,5 protocol=icmpv6
add action=accept chain=forward limit=50,5 protocol=icmpv6
add action=accept chain=forward in-interface=home out-interface=sit1
add action=drop chain=input
add action=drop chain=forward

 

Изменено 26 апреля, 2018 пользователем 8bit

[s.lobanov]

Всё хорошо, кроме этого:

add action=accept chain=forward limit=50,5 protocol=icmpv6

Зачем вам это? потом окажется, что какой-нибудь специально сформированный icmp-запрос позволяет что-нибудь сделать с ведром линукса.

 

В инпуте icmpv6 от всех хостов - тоже сомнительная вещь. Если вы мониторите извне, то пропишите там ipv6-адрес сервера мониторинга

[8bit]

Хорошо, спасибо.

А если я хочу открыть доступ до конкретной машины, конкретного порта, то вот так тоже будет нормально:

chain=forward action=accept protocol=tcp dst-address=            /128 in-interface=sit1 dst-port=80 
chain=forward action=accept protocol=tcp dst-address=            /128 in-interface=sit1 dst-port=443 

 

[.None]

в последних 2-х правилах я бы прописал in-interface=sit1, иначе как DNS клиент обратится к DNS микротика по ipv6

IMHO имеет смыл защищаться извне, зачем из LAN все дропать?

[s.lobanov]

4 минуты назад, .None сказал:

в последних 2-х правилах я бы прописал in-interface=sit1, иначе как DNS клиент обратится к DNS микротика по ipv6

IMHO имеет смыл защищаться извне, зачем из LAN все дропать?

А почему вы решили что у опа dns на микротике?

 

Дропать из лана всё, что явно не разрешено это абсолютно правильно, потому что атаки на домашние роутеры происходят не только извне, но и изнутри (когда пользователь внутри сети запускает у себя вредоносный софт)

[8bit]

2 часа назад, .None сказал:

как DNS клиент обратится к DNS микротика по ipv6

 

DNS использую публичный от google, возможно не самая лучшая идея, но и проблем пока не было. 

 

2001:4860:4860::4444
2001:4860:4860::8888

 

[rm_]

On 4/26/2018 at 12:24 PM, s.lobanov said:

Зачем вам это? потом окажется, что какой-нибудь специально сформированный icmp-запрос позволяет что-нибудь сделать с ведром линукса.

 

В инпуте icmpv6 от всех хостов - тоже сомнительная вещь. Если вы мониторите извне, то пропишите там ipv6-адрес сервера мониторинга

Затем что зарезав ICMP Packet Too Big вы поломаете PMTU discovery, а она жизненно необходима на IPv6, поскольку фрагментации-то на роутерах нет.

Некоторые ресурсы будут зависать при открытии соединения, потом закономерно создадите себе впечатление "ой какой плохой и поломанный ваш IPv6".

https://tools.ietf.org/html/rfc4890 Recommendations for Filtering ICMPv6 Messages in Firewalls

[s.lobanov]

фрагментации и в ipv4 по факту нет (она зарезана оооочень много где) и люди, которые используют udp (в реальном мире, а не в теории), просто делают пакетики поменьше на уровне приложения. Для tcp есть всё тот же tcp.mss

 

Для домашнего(soho юзкейса) использования pmtu discovery не нужен