Ip6Tables verkeer naar VM's firewallen

ben144
Member
Member
Berichten: 59
Lid geworden op: 30 Mei 2020
Bedankt: 5 keer
Uitgedeelde bedankjes: 10 keer

Ip6Tables verkeer naar VM's firewallen

Berichtdoor ben144 » 06 Sep 2021, 18:14

Hoe kan ik via ip6tables ipv6 verkeer naar de VM's afblokken (via de clientfirewall lukt het, maar wil het ook vanuit de server beschermen), en enkel 1 poort toelaten, bijvoorbeeld 3389.

Situatie: Proxmox server (hetzner dedicated), alles werkend op ipv6, clients ook, kan client ook overnemen via ip6 RDP, maar er staat dus veel te veel open.

Ipconfig server :

Code: Selecteer alles

iface enp0s31f6 inet6 static
  address bla:bla:bla:bla::2
  netmask 128
  gateway fe80::1
  up sysctl -p
auto vmbr99
iface vmbr99 inet6 static
        address  bla:bla:bla:bla::3
        netmask  64
        up ip -6 route add bla:bla:bla:bla::/64 dev vmbr99


ip6 config client :

Code: Selecteer alles

ip      bla:bla:bla:bla::30
gateway bla:bla:bla:bla::3
dns   2001:4860:4860::8888


Werkende ip6tables, maar de clients staan nog volledig open.
Ik mis dus nog wat FORWARD blocking rules, maar ik kom er niet uit, Als het me al eens lukt met wat rules, dan kan de client ook niet meer surfen via ip6. Ik mis hier dus wat elementaire info, maar geen idee wat.

Code: Selecteer alles

ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -F

ip6tables -A INPUT -p icmpv6 -j ACCEPT

ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
ip6tables -A INPUT -p tcp  --dport 8006 -j ACCEPT
ip6tables -A INPUT -p tcp  --dport 22 -j ACCEPT
ip6tables -P INPUT DROP

driesp
Plus Member
Plus Member
Berichten: 170
Lid geworden op: 17 Jan 2014
Bedankt: 11 keer
Uitgedeelde bedankjes: 6 keer

Re: Ip6Tables verkeer naar VM's firewallen

Berichtdoor driesp » 06 Sep 2021, 18:34

Hi

Pas deze regel aan:

Code: Selecteer alles

ip6tables -P FORWARD DROP


Voeg de volgende regels toe:

Code: Selecteer alles

ip6tables -A FORWARD -d IP:RANGE:VAN:VM::/64 -p tcp --dport 3389 -j ACCEPT
ip6tables -A FORWARD -s IP:RANGE:VAN:VM::/64 -j ACCEPT
ip6tables -A FORWARD -d IP:RANGE:VAN:VM::/64 -m state --state RELATED,ESTABLISHED -j ACCEPT


vr gr
Dries

ben144
Member
Member
Berichten: 59
Lid geworden op: 30 Mei 2020
Bedankt: 5 keer
Uitgedeelde bedankjes: 10 keer

Re: Ip6Tables verkeer naar VM's firewallen

Berichtdoor ben144 » 06 Sep 2021, 18:53

Thanks, dat was de oplossing ! Nu kan ik verder.
(de drop moet wel blijven, is een default drop)

driesp
Plus Member
Plus Member
Berichten: 170
Lid geworden op: 17 Jan 2014
Bedankt: 11 keer
Uitgedeelde bedankjes: 6 keer

Re: Ip6Tables verkeer naar VM's firewallen

Berichtdoor driesp » 06 Sep 2021, 19:02

Ik heb een foutje uit je script gehaald, en iets weggehaald wat overbodig was.

Probeer dit eens:

Code: Selecteer alles

ip6tables -F
ip6tables -X
ip6tables -t mangle -F
ip6tables -t mangle -X
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT

ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -p icmpv6 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 8006 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT

ip6tables -A FORWARD -d IP:RANGE:VAN:VM::/64 -p tcp --dport 3389 -j ACCEPT
ip6tables -A FORWARD -s IP:RANGE:VAN:VM::/64 -j ACCEPT
ip6tables -A FORWARD -d IP:RANGE:VAN:VM::/64 -m state --state RELATED,ESTABLISHED -j ACCEPT


Terug naar “Internet Protocol versie 6 (Ipv6)”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast