1
Sítě / Re:IPv6 router na Debianu
« kdy: 27. 07. 2024, 00:05:24 »
Pro ladeni bych dal normalne do INPUTu ACCEPT a do FORWARDu DROP aby se mi nekdo neprosel po vnitrni siti. Ten router samotny bud otevreny provoz chvili snese a nebo muzete shodit sluzby co na nem bezi. Firewall muzete utahnout hned jak bude fungovat konektivita.
Pokud dostavate IP z jineho prefixu, je otazka jak je to mozne. Klidne muze mit soused blbe propojenou sit a komunikujete s nim misto v providerem. Byt pokud jsou tohle realna cisla, videl bych sit s nulami spise jako nejakou infrastrukturni. Ale to by mel rict provider, jaka je to adresa a jestli je za nej OK, ze ji klienti dostavaji. Protoze takto vypadajici adresu si ten router urcite nevymyslel, tu musel od nekoho dostat. A kdyz neni ve vystupu dhcp, tak jinak nez pres SLAAC pritect nemohla. (Pomijim moznost, ze distribuce ma na pozadi bezici dhcp klient a vy jste pustil z ruky druhy).
Zajimavy by byl vystup z
tcpdump -vvvv -n -ttt -i wan icmp6 and 'ip6[40] = 134'
jestli je tam managed-config-flag, protoze pokud by tam nebyl, tak dhcp klient potencialne adresu zadat nebude, ale nekoukal jsem do zdrojaku jak presne je tohle vymyslene. Soucasne uvidite prefixy, ktere tam nekdo posila.
Pripadne kouknout na
tcpdump -i wan -n -vvvv -ttt '(udp port 546 or 547) or icmp6'
jestli realne neprichazi odpoved a nebo jestli prichazi ale vas klient ji nevidi.
Pokud dostavate IP z jineho prefixu, je otazka jak je to mozne. Klidne muze mit soused blbe propojenou sit a komunikujete s nim misto v providerem. Byt pokud jsou tohle realna cisla, videl bych sit s nulami spise jako nejakou infrastrukturni. Ale to by mel rict provider, jaka je to adresa a jestli je za nej OK, ze ji klienti dostavaji. Protoze takto vypadajici adresu si ten router urcite nevymyslel, tu musel od nekoho dostat. A kdyz neni ve vystupu dhcp, tak jinak nez pres SLAAC pritect nemohla. (Pomijim moznost, ze distribuce ma na pozadi bezici dhcp klient a vy jste pustil z ruky druhy).
Zajimavy by byl vystup z
tcpdump -vvvv -n -ttt -i wan icmp6 and 'ip6[40] = 134'
jestli je tam managed-config-flag, protoze pokud by tam nebyl, tak dhcp klient potencialne adresu zadat nebude, ale nekoukal jsem do zdrojaku jak presne je tohle vymyslene. Soucasne uvidite prefixy, ktere tam nekdo posila.
Pripadne kouknout na
tcpdump -i wan -n -vvvv -ttt '(udp port 546 or 547) or icmp6'
jestli realne neprichazi odpoved a nebo jestli prichazi ale vas klient ji nevidi.