Stateful ipfw-Firewall und IPv6

From: Torsten Schneider <de-bsd(at)tschneider.org>
Date: Mon, 16 May 2011 20:41:43 +0200

Hallo allerseits,

ich habe hier ein FreeBSD 7.4-STABLE amd64 und da diverse
ipfw-Firewallregeln.

Mit IPv4 klappte das auch immer alles bestens, so habe ich folgenden
Aufbau, um z.B. ssh und http zu erlauben:

add check-state
add deny tcp from any to any established
add allow tcp from me to any out setup keep-state
add allow tcp from any to me6 ssh,http keep-state setup
add allow tcp from any to me4 ssh,http keep-state setup

Die unteren beiden Regeln habe ich zu Debuggingzwecken aufgeteilt.

sysctl -a liefert u.a.:

net.inet.ip.fw.dyn_ack_lifetime: 600
net.inet.ip.fw.dyn_keepalive: 1

Unter IPv4 wurden dann die Regeln 20 Sekunden vor dem Ende durch
Keepalive-Pakete wieder "erneuert", wenn die Verbindung noch bestand,
aber keine Daten flossen, z. B. SSH-Session im Idle-Status.

Unter IPv6 klappt das alles nicht mehr. Nach 10 Minuten Idle Time ist
die Regel weg, konnte das von einer anderen Session aus verifizieren.
IPv4 hat da notfalls Tage durchgehalten.

Die Symptome konnte ich bekämpfen durch ServerAliveInterval 500 in der
ssh_config, aber das finde ich eher unsauber.

Gibt es da etwas, was ich überlesen haben sollte?

Grüße, Torsten

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 16 May 2011 - 20:42:15 CEST

search this site