ip6tables firewall

Als je netwerk wordt klaar gemaakt voor ipv6 dan is het noodzakelijk ook een ipv6 firewall op te zetten.
Aangezien iptables alleen werkt met ipv4. Hier hebben we dus ip6tables voor nodig. Nou hier onder een klein voorbeeld van een simpele ip6tabels firewall (etje).

#!/bin/bash

# ip6tables single-host firewall script

# Define your command variables
ipt6="/sbin/ip6tables"

# Flush all rules and delete all chains
$ipt6 -F
$ipt6 -X

# Zero out all counters
$ipt6 -Z

# deny all incoming / Unrestricted outgoing

$ipt6 -P INPUT DROP
$ipt6 -P FORWARD DROP
$ipt6 -P OUTPUT ACCEPT

# Must allow loopback interface
$ipt6 -A INPUT -i lo -j ACCEPT

# Allow return connections
$ipt6 -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Accept all ICMP v6 packets
$ipt6 -A INPUT -p ipv6-icmp -j ACCEPT

# Allow DHCPv6 from LAN only
$ipt6 -A INPUT -m state --state NEW -m udp -p udp 
-s fe80::/10 --dport 546 -j ACCEPT

# Allow connections from SSH clients
$ipt6 -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

# Allow HTTP and HTTPS traffic
$ipt6 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
$ipt6 -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

Klein maar doeltreffend.

URONode ipv6 ready

URONode van Brian N1URO is ipv6 ready.
Dit wou ik natuurlijk even uitproberen. Nu was ik nog niet zo veel met ipv6 bezig geweest dus het was even uitzoeken hoe het moest. Het viel allemaal wel weer mee 🙂

Eerst moet de nieuwste versie van uronode geïnstalleerd worden (versie 2.7)
Verder moet er een regel aangepast worden in /etc/inetd.conf

Hier onder hebben we de (tcp6) toegevoegd. kill -HUP inetd

uronode  stream  tcp6,tcp     nowait  root    /usr/local/sbin/uronode  uronode

Maak je gebruikt van xinetd, dan ziet het er zo uit.

service uronode
{
        disable         = no
        socket_type     = stream
        protocol        = tcp
        flags           = IPv6
        user            = root
        server          = /usr/local/sbin/uronode
        wait            = no
        instances       = 20
}

Hier wordt de “flags = IPv6” toegevoegd.

Nu moest ik nog wat aanpassingen doen aan me router en firewall om het werkend te krijgen. Dit is natuurlijk voor een ieder verschillend.
Verder heb ik bij me hosting provider nog een AAAA record aan gemaakt in de DNS server zodat je dat langen ipv6 adres niet hoeft te onthouden.
Nu wordt het pi1lap.packet-radio.net mooi omgezet naar een ipv6 adres  2a02:f6d:2d:0:212:3fff:fe2b:c66f

telnet -6 pi1lap.packet-radio.net 3694
Trying 2a02:f6d:2d:0:212:3fff:fe2b:c66f...
Connected to pi1lap.packet-radio.net.
Escape character is '^]'.
(pi1lap.packet-radio.net:uronode) login: pd2lt
*** Password required! If you don't have a password please email pd2lt@packet-radio.net for a password you wish to use.
Password:
[URONode v2.7]
Welcome pd2lt to the pi1lap.packet-radio.net packet shell.
       _ _ _
 _ __ (_) | | __ _ _ __
| '_ | | | |/ _` | '_ 
| |_) | | | | (_| | |_) |
| .__/|_|_|_|__,_| .__/
|_|               |_|



SystemD - pd2lt@pi1lap.packet-radio.net:

Werkt dus uit de kunst.

https://sourceforge.net/projects/uronode/
https://uronode.n1uro.com/