Ip6Tables verkeer naar VM's firewallen

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
ben144
Member
Member
Berichten: 62
Lid geworden op: 30 mei 2020, 10:56
Uitgedeelde bedankjes: 11 keer
Bedankt: 5 keer

Hoe kan ik via ip6tables ipv6 verkeer naar de VM's afblokken (via de clientfirewall lukt het, maar wil het ook vanuit de server beschermen), en enkel 1 poort toelaten, bijvoorbeeld 3389.

Situatie: Proxmox server (hetzner dedicated), alles werkend op ipv6, clients ook, kan client ook overnemen via ip6 RDP, maar er staat dus veel te veel open.

Ipconfig server :

Code: Selecteer alles

iface enp0s31f6 inet6 static
  address bla:bla:bla:bla::2
  netmask 128
  gateway fe80::1
  up sysctl -p
auto vmbr99
iface vmbr99 inet6 static
        address  bla:bla:bla:bla::3
        netmask  64
        up ip -6 route add bla:bla:bla:bla::/64 dev vmbr99
ip6 config client :

Code: Selecteer alles

ip      bla:bla:bla:bla::30
gateway bla:bla:bla:bla::3
dns	2001:4860:4860::8888
Werkende ip6tables, maar de clients staan nog volledig open.
Ik mis dus nog wat FORWARD blocking rules, maar ik kom er niet uit, Als het me al eens lukt met wat rules, dan kan de client ook niet meer surfen via ip6. Ik mis hier dus wat elementaire info, maar geen idee wat.

Code: Selecteer alles

ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -F

ip6tables -A INPUT -p icmpv6 -j ACCEPT

ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT
ip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
ip6tables -A INPUT -p tcp  --dport 8006 -j ACCEPT
ip6tables -A INPUT -p tcp  --dport 22 -j ACCEPT
ip6tables -P INPUT DROP
Omhoog
driesp
Plus Member
Plus Member
Berichten: 179
Lid geworden op: 17 jan 2014, 17:11
Uitgedeelde bedankjes: 8 keer
Bedankt: 11 keer

Hi

Pas deze regel aan:

Code: Selecteer alles

ip6tables -P FORWARD DROP
Voeg de volgende regels toe:

Code: Selecteer alles

ip6tables -A FORWARD -d IP:RANGE:VAN:VM::/64 -p tcp --dport 3389 -j ACCEPT
ip6tables -A FORWARD -s IP:RANGE:VAN:VM::/64 -j ACCEPT
ip6tables -A FORWARD -d IP:RANGE:VAN:VM::/64 -m state --state RELATED,ESTABLISHED -j ACCEPT
vr gr
Dries
Omhoog
ben144
Member
Member
Berichten: 62
Lid geworden op: 30 mei 2020, 10:56
Uitgedeelde bedankjes: 11 keer
Bedankt: 5 keer

Thanks, dat was de oplossing ! Nu kan ik verder.
(de drop moet wel blijven, is een default drop)
Omhoog
driesp
Plus Member
Plus Member
Berichten: 179
Lid geworden op: 17 jan 2014, 17:11
Uitgedeelde bedankjes: 8 keer
Bedankt: 11 keer

Ik heb een foutje uit je script gehaald, en iets weggehaald wat overbodig was.

Probeer dit eens:

Code: Selecteer alles

ip6tables -F
ip6tables -X
ip6tables -t mangle -F
ip6tables -t mangle -X
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT

ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -p icmpv6 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 8006 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT

ip6tables -A FORWARD -d IP:RANGE:VAN:VM::/64 -p tcp --dport 3389 -j ACCEPT
ip6tables -A FORWARD -s IP:RANGE:VAN:VM::/64 -j ACCEPT
ip6tables -A FORWARD -d IP:RANGE:VAN:VM::/64 -m state --state RELATED,ESTABLISHED -j ACCEPT
Omhoog
Plaats reactie

Terug naar “Netwerken en Security”