[buug-l] v6-faehiges packet filtering
Christoph Biedl
cbiedl at gmx.de
Don Dez 25 00:29:10 CET 2003
Hallo,
nachdem ich endlich ein /64 v6 nach Hause bekomme, wollte ich natürlich
auch meinen Linux-Router entsprechend aufmotzen, um zumindest die
essentiellen Funktionen an packet filtering zu haben; insbesondere auch,
weil es ja kein NAT gibt und alle Rechner im privaten Netz direkt
erreichbar sind. Deswegen erstmal eine Handvoll Regeln "Erlaube keine
Verbindungsaufbauten von außen" und "Erlaube alles nach außen und was
Du schon kennst".
Das gab sehr schnell ziemlich lange Gesichter: ip6tables kennt kein
REJECT (auch nicht in 2.6.0), das kann per patch-o-matic nachgerüstet
werden. ip6tables kennt anscheinend kein "-m state --state ESTABLISHED"
oder ich hab's übersehen. Errrm, das sieht also nicht so aus, als wollte
man das produktiv nutzen.
Gibt es Alternativen? Ich habe ein wenig Richtung FreeBSD geguckt, aber
bekenne meine Unwissenheit. Ist ip6fw brauchbar? Andere Empfehlungen?
Einführungen in das jeweilige System (ich behaupte mal, daß ich mich mit
iptables ziemlich gut auskenne, es muß also nicht beim Urschleim
anfangen)?
Christoph