31
German - Deutsch / Re: IPv6: Wie kann man den aktuellen Präfix in Firewall-Regeln referenzieren?
« on: March 29, 2019, 08:20:05 am »
die "ALLOW -in LAN -out WAN -proto IPv6" sieht in der GUI so aus, und ist auf das LAN gebunden...
"IPv6 * * * * * * testrule "
So wird sie in der shell angezeigt. em0 ist mein lan, nfe0 wan.
Wobei das genau genommen eine "ALLOW -in LAN -out any -proto IPv6" ist.. eine -out wan mit prefix sieht so aus:
"IPv6 * * * WAN Netzwerk * * testrule "
wie gesagt.. unter iptabels ist das quasi baugleich auch so.... in der englischen GUI steht da vermutlich halt WAN Network bei Ziel/Target.. bin ich jetzt zu faul das auszuprobieren. Wobei die Rule so wenig Sinn macht... oben oder die bzw. "to (em0:network)" wäre zweckmässiger wenn man sein LAN präfix als Target referenzieren will .. also wenn em0 dem LAN entspricht.... egal es geht jedenfalls!
Ein "wan interface" als target gibts in der GUI so wie du sagst erst mal nicht...korrekt, aber wie das Paket es über die Mauer schafft ist doch ansich egal... eine "pass all ipv6 in,out" Regel wie im ersten Beispiel würde gehen, eine "pass all ipv6 in, out prefixnet" wie der Threadstarter es anfragt im 2. Beispiel auch.
eine selbst gefrickelte
probier ich jetzt aber nicht aus... 2 Alternativen reichen erst mal
"IPv6 * * * * * * testrule "
So wird sie in der shell angezeigt. em0 ist mein lan, nfe0 wan.
Code: [Select]
root@drexbox:~ # pfctl -a '*' -sr | grep test
pfctl: DIOCGETRULES: Invalid argument
pass in quick on em0 inet6 all flags S/SA keep state label "USER_RULE: testrule"
root@drexbox:~ #
Wobei das genau genommen eine "ALLOW -in LAN -out any -proto IPv6" ist.. eine -out wan mit prefix sieht so aus:
Code: [Select]
pfctl: DIOCGETRULES: Invalid argument
pass in quick on em0 inet6 from any to (nfe0:network) flags S/SA keep state label "USER_RULE: testrule"
root@drexbox:~ #
Ansicht in der GUI ist dann:"IPv6 * * * WAN Netzwerk * * testrule "
wie gesagt.. unter iptabels ist das quasi baugleich auch so.... in der englischen GUI steht da vermutlich halt WAN Network bei Ziel/Target.. bin ich jetzt zu faul das auszuprobieren. Wobei die Rule so wenig Sinn macht... oben oder die bzw. "to (em0:network)" wäre zweckmässiger wenn man sein LAN präfix als Target referenzieren will .. also wenn em0 dem LAN entspricht.... egal es geht jedenfalls!
Ein "wan interface" als target gibts in der GUI so wie du sagst erst mal nicht...korrekt, aber wie das Paket es über die Mauer schafft ist doch ansich egal... eine "pass all ipv6 in,out" Regel wie im ersten Beispiel würde gehen, eine "pass all ipv6 in, out prefixnet" wie der Threadstarter es anfragt im 2. Beispiel auch.
eine selbst gefrickelte
Code: [Select]
pass in quick on em0 inet6 from any to nfe0 flags S/SA keep state"
... also ohne das network... via shell Befehl oder script würde vermutlich auch gehen, auch wenn die GUI das nicht anbietet.probier ich jetzt aber nicht aus... 2 Alternativen reichen erst mal