Jezevec: diky za odpoved. Ja se asi musim odprostit od konceptu "kdyz se nekde babraly iptables, tak se montoval firewall a NATka dohromady"
Jinak jsem tu podle tvych rad a sveho puvodniho ipv4 skriptu splacal neco takoveho, nicmene jeste to neni kompletni:
Kód:
IPT="ip6tables"
WAN="eth0"
LAN="eth1"
$IPT -F
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN -j ACCEPT
$IPT -A OUTPUT -o $LAN -j ACCEPT
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A OUTPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# blabla, tady povolim nejaka INPUT/OUTPUT pravidla pro http, rsync a podobne
Co se forwardu ven tyce, ten bych asi nechal neomezeny. Tohle nastaveni se tyka me domaci site, na ktere jsem vicemene jen ja, takze v tomhle smeru by to pro me bylo spis omezujici (kvuli kazde sluzbe si vytvaret explicitni odchozi pravidlo).
Tudiz, jestli spravne chapu, by odchozi pravidlo pro FORWARD mohlo vypadat nejak takhle (ci ne?):
Kód:
$IPT -A FORWARD -i $LAN -j ACCEPT
(Pripadne, pokud bych chtel routovat do netu z vpn, je mozne napsat "povsechne"
Kód:
$IPT -A FORWARD -o $WAN -j ACCEPT
, ci je treba explicitne uvest jednotlive ifaces, ze kterych se ma forwardovat?)
Tady by me zajimalo, jestli by misto tveho mujprefixprolan::/64 slo pouzit i neco obecnejsiho - pokud bych napr. tech subnetu mel doma vice, tak jestli je treba je vsechny vypsat explicitne, ci by slo napsat i neco jako muj6to4prefix/48.
K forwardu dovnitr, k cemu je dobre, ze si na to clovek udela separatni chain? Tj. ze neudela primo pravidlo
Kód:
$IPT -A FORWARD -i $WAN -d $mojekrasnaip -p tcp --dport 3389 -j ACCEPT
No a asi posledni dotaz - k tomu ICMP. Uz jsem s tim nastavenim chvilku laboroval, na netu jsem ugooglil proste
Kód:
$IPT -A INPUT -p ipv6-icmp -j ACCEPT
$IPT -A OUTPUT -p ipv6-icmp -j ACCEPT
, tak jestli je to dostacujici (puvodne mi totiz ICMP nejelo). Samozrejme tam pak jeste pridam nejake limity na minutu.
Omlouvam se za haldu otazek, ale vetsina navodu valejicich se po netu vynechava nejakou podstatnou informaci a ja v tom pak mam gulas. Resp. nastavit to, aby to fungovalo, to zvladnu, ale jestli je to "spravne", tim si jist byt nemuzu.