Portál AbcLinuxu, 5. května 2025 21:38

Dotaz: IP6TABLES - ping mezi dvěma PC

21.5.2013 15:02 bigBRAMBOR | skóre: 37
IP6TABLES - ping mezi dvěma PC
Přečteno: 401×
Odpovědět | Admin
Dobrý den, pomohl by mi někdo se zákysem kam jsem se dostal? Zkusím popsat situaci. Všechny stroje jsou Linux, CentOS. 
1/ ROUTER - LAN1 a:a:a:a::1/64, LAN2 je bridge OVPN TAP a ETH1 jako BR0, adresa a:a:a:b::1/64, stroj není připojen na internet
2/ PC1 - LAN a:a:a:a::2/64, GW na server LAN1
3/ PC2 - LAN a:a:a:b::2/64, GW na server LAN2
mezi PC muzu ping6at. Na PC1 není firewall, na ROUTERU taky není firewall. Na PC2 když zapnu firewall, tak INPUT funguje OK, můžu zakázat přístup jak z routeru tak z PC1. Problém nastane když chci kontrolovat i OUTPUT. Pokud dám OUTPUT povolen na ::/0 vše funguje jak má, pokud ale dám povolen output pouze na a:a:a:a::/64 a a:a:a:b::/64, tedy by se podle mě nemělo nic změnit, začne se to chovat takto. PC1 nemůže pingnout PC2, PC2 nemůže pingnout PC1. Pokud ale z PC2 pingnu router, to jde, začne funguovat i ping na PC1 a z PC1 na PC2, to vydrží dokud nepřestanu. Pak se to vraci do původní polo-funkčnosti. Nevím bohužel kde co mám chytat, jediné co tam je trochu nestandardní je ten BRIDGE, ale ten je na routeru, kde je firewall vypnutý. Neví někdo co bych měl hledat?

děkuji
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

21.5.2013 15:33 Sten
Rozbalit Rozbalit vše Re: IP6TABLES - ping mezi dvěma PC
Odpovědět | | Sbalit | Link | Blokovat | Admin
Aby to pingnalo, musí to znát MAC adresu routeru. Tu zjistí buď tak, že v nedávné době dostane packet, který mu ji prozradí (jako třeba u toho pingu), nebo se aktivně zeptá. Pro to ale IPv6 potřebuje povolit odchozí pakety do sítě fe80::/64.
21.5.2013 16:09 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: IP6TABLES - ping mezi dvěma PC
to jsem tam tedy nemel, to priznavam, ale nepomohlo to. Pokud vyhodim fe80 a zakazu veskery output, ale povolim ipv6-icmp na input i output, pingam vsude bez problemu. Jakmile tam ale zacnu cpat pravidla kam muze OUTPUT, dopadnu tak jak jsem napsal. fe80 nezdá se, že by na to mělo vliv. Zkousim, koukam dal.
21.5.2013 21:07 Sten
Rozbalit Rozbalit vše Re: IP6TABLES - ping mezi dvěma PC
Ještě bude asi potřeba povolit ff02::/64. Nejlepší bude zapnout logování, tam bude vidět, co se snažilo posílat a co neprošlo.
pavlix avatar 22.5.2013 14:39 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: IP6TABLES - ping mezi dvěma PC
+1

Otázka je, proč být na tu síť tak přísný a nepovolit ty ICMP zprávy obecně.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
18.6.2013 11:29 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: IP6TABLES - ping mezi dvěma PC
jj, makam na tom, pronikam do toho. Nejvetsi vyhoda ip6tables je ze jsou skoro stejne jako iptables. Nejvetsi nevyhoda ip6tables je ze jsou skoro stejne jako iptables.
21.5.2013 16:10 Sten
Rozbalit Rozbalit vše Re: IP6TABLES - ping mezi dvěma PC
Jo a ještě jedna věc: u takovýchto problémů hodně pomůže logování zahozených packetů.
21.5.2013 16:03 Petr
Rozbalit Rozbalit vše Re: IP6TABLES - ping mezi dvěma PC
Odpovědět | | Sbalit | Link | Blokovat | Admin
Ahoj,

IPv6 funguje trosku jinak nez IPv4, pokud nevis kde zacit, tak knizka IPv6 Satrapa by mohla pomoct.

Je zapotrebi povolit obezniky aby si mohli povidat uzly dane L2 domeny pres ICMP zpravy (a tak se dozvedet linkove adresy).
21.5.2013 16:10 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: IP6TABLES - ping mezi dvěma PC
jj, uz jdu na ni.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.