zprovozneni IPv6 vc. IPv4 na W2008

[Jezevec]

a) widle ..... (dopln libovolne mnoztvi vyrazu vetsinou na webu cenzurovanych)

b) potrebujes mit IPv6 povolenou na stanicich (napr v XP do cmd ipv6 install a je hotovo)
c) IPv6 se vetsinou (ne ze by to neslo, ale je to blbost) neprideluje pres DHCP. Funguje to tak, ze v siti je aspon jeden stroj, kterej vysila prefix a stanice si k prefixu sama doplni zbytek podle MAC. Pripadne se da jeste posilat ohlasovani routeru - pokud je jich vic, tak si stanice sama sestavi routovaci tabulku (muze byt na jednom segmentu vic prefixu a pro kazdy treba jiny router ...).

DNSko za normalnich okolnosti umi "od prirody" oboji, je to proste jen jiny typ zaznamu (A vs AAAA). jak je na tom widlowsi nevim a testovat to radsi nebudu.

Jestli je to co sem psal realizovatelny s widlema jako serverem nemam potuchy, teoreticky asi jo, ale vzhledem k "funkcnosti" widlowsiho DHCPka/DNSka pro IPv4 ....

Pokud uz to delas, nema smyslu vyrabet lokalni adresy, pozadej si o prideleni verejnyho prefixu, dostanes /64 a to ti bude stacit do smrti. Pak to jen pripadne osefujes FW.

[WereWiking]

Ozivim tohle tema - sice trosku OT prispevkem, ale zase je tu docela uzitecne a srozumitelne sepsane zakladni info.

Padla tu rec o router advertisment a zajimalo by me, co vsechno pomoci nej lze propagovat. Jestli jen vychozi gateway, nebo i treba veci jako DNS a NTP server (tzn. by to dokazalo suplovat veci, co se tedka opravdu na IPv4 resi managovanym DHCP server).

Monsoon - proc je podle tebe lepsi pridelovat vsem stanicim z verejneho rozsahu misto lokalniho (FC00::7)? Chapu ideu "s IPv6 muze byt na netu opravdu vsechno, NATka je minulosti," na druhou stranu je to ale podle me pro spravce docelna pohodlny zpusob, jak mit kontrolu nad provozem mezi netem a lokalni siti.

Pridam jeste jeden dotaz - mate nejaky tip (ve smyslu "sam neco takovyho mam") na dobry navod na konfiguraci ip6tables? Par jsem jich na netu objevil, ale vetsina z nich mi prisla takova chaoticka.

[Jezevec]

RA posle jen prefix + GW (v siti jich muze byt vic), pridelovat cokoli jinyho nez verejny IP je prasarna (a navic IPv6 NAT neumi a umet nebude bez hnusnych hacku) a na kontrolu provozu je firewall.

Co se konfigurace tejce, pokud chces resit provoz do vnitrni site, tak ve FORWARD, vetsinou se tam dava neco jako:

-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

politika samo na drop to ti v defaultu nepovoli zadnej provoz (neni jak navazat spojeni), pak neco takovyho:

-A FORWARD -s mujprefixprolan::/64 -j lan_out
-A FORWARD -d mujprefixprolan::/64 -j lan_in

coz ti rozhodi prichozi a odchozi provoz
a pak trebas takto:

-A lan_in -d mojekrasnaip/128 -p tcp -m tcp --dport 3389 -m state --state NEW -j ACCEPT
-A lan_out -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

coz povoli prichozi provoz na RDP konkretniho stroje (navazani noveho propojeni, zbytek zaridi RELATED,ESTABLISHED) a odchozi provoz na http bez omezeni pro vsechny. Jeste je dobry povolit ICMP6.

[WereWiking]

Jezevec: diky za odpoved. Ja se asi musim odprostit od konceptu "kdyz se nekde babraly iptables, tak se montoval firewall a NATka dohromady"

Jinak jsem tu podle tvych rad a sveho puvodniho ipv4 skriptu splacal neco takoveho, nicmene jeste to neni kompletni:

Kód:

IPT="ip6tables"

WAN="eth0"
LAN="eth1"

$IPT -F

$IPT -P INPUT       DROP
$IPT -P OUTPUT      DROP
$IPT -P FORWARD     DROP

$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT

$IPT -A INPUT -i $LAN -j ACCEPT
$IPT -A OUTPUT -o $LAN -j ACCEPT

echo 1 > /proc/sys/net/ipv6/conf/all/forwarding

$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A OUTPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# blabla, tady povolim nejaka INPUT/OUTPUT pravidla pro http, rsync a podobne

Co se forwardu ven tyce, ten bych asi nechal neomezeny. Tohle nastaveni se tyka me domaci site, na ktere jsem vicemene jen ja, takze v tomhle smeru by to pro me bylo spis omezujici (kvuli kazde sluzbe si vytvaret explicitni odchozi pravidlo).
Tudiz, jestli spravne chapu, by odchozi pravidlo pro FORWARD mohlo vypadat nejak takhle (ci ne?):

Kód:

$IPT -A FORWARD -i $LAN -j ACCEPT

(Pripadne, pokud bych chtel routovat do netu z vpn, je mozne napsat "povsechne"

Kód:

$IPT -A FORWARD -o $WAN -j ACCEPT

, ci je treba explicitne uvest jednotlive ifaces, ze kterych se ma forwardovat?)

Tady by me zajimalo, jestli by misto tveho mujprefixprolan::/64 slo pouzit i neco obecnejsiho - pokud bych napr. tech subnetu mel doma vice, tak jestli je treba je vsechny vypsat explicitne, ci by slo napsat i neco jako muj6to4prefix/48.

K forwardu dovnitr, k cemu je dobre, ze si na to clovek udela separatni chain? Tj. ze neudela primo pravidlo

Kód:

$IPT -A FORWARD -i $WAN -d $mojekrasnaip -p tcp --dport 3389 -j ACCEPT

No a asi posledni dotaz - k tomu ICMP. Uz jsem s tim nastavenim chvilku laboroval, na netu jsem ugooglil proste

Kód:

$IPT -A INPUT -p ipv6-icmp -j ACCEPT
$IPT -A OUTPUT -p ipv6-icmp -j ACCEPT

, tak jestli je to dostacujici (puvodne mi totiz ICMP nejelo). Samozrejme tam pak jeste pridam nejake limity na minutu.

Omlouvam se za haldu otazek, ale vetsina navodu valejicich se po netu vynechava nejakou podstatnou informaci a ja v tom pak mam gulas. Resp. nastavit to, aby to fungovalo, to zvladnu, ale jestli je to "spravne", tim si jist byt nemuzu.

[Jezevec]

Co se tyce forwardu ven, samo v domaci siti kde nechces resit odchozi bordel ti staci jedno z tech dvou pravidel, pokud mas vic vnitrnich rozhrani, tak samo muzes povolit odchozi provoz vsem. Rozsah samo muzes uvet tak jak potrebujes => kdyz mas svoji /48, tak ji tam flaknes celou, pokud bys mel ruznych rozsahu vic, tak bys je musel vyjmenovat.

Separatni chainy jsou dobry predevsim na to, ze udrzujes pravidla prehledny => snadno dohledas kde co je. Kdyz naladujes vsechno do forward/input/output/... tak az tam budes mit 30+ pravidel, zacnes mit problem s identifikaci toho co a proc ktery dela (navic zalezi na poradi).

K icmp asi tolik, ze je dobry to povolit i na forwardu (i dovnitr) aby se na ty stroje dalo pingnout (coz by podle rfc jit melo vzdy) a aby se jim daly posilat vsemozny stavovy informace.

[WereWiking]

ad forwarding ven - rozumela, chapala, dekovala
ad separe chainy - ditto

ad icmp - tou poznamkou ohledne RFC minis, ze podle specifikace by kazdy stroj mel byt pingatelny?

Prikladam dalsi dotaz, ve vyse uvedenem prikladu mam $mojekrasnaip, nicmene tato je momentalne generovana pomoci radvd (namapovano na me 6to4). Jakym zpusobem se to resi v tomhle pripade (tzn. stanice na lokalu nemaji fixne dane IP od DHCP)?

[Jezevec]

IP se default (XP a vejs) generuje nahodne => tohle pouzit nemuzes. Muzes ale na tech widlich pomoci netsh vynutit generovani IP z MAC = pak je vzdycky stejna.
netsh interface ipv6 set global randomizeidentifiers=disabled

Jop, kazdy stroj by mel odpovedet na ping.

[WereWiking]

DNSko za normalnich okolnosti umi "od prirody" oboji, je to proste jen jiny typ zaznamu (A vs AAAA). jak je na tom widlowsi nevim a testovat to radsi nebudu.

Mala perlicka