IPv6 Firewall invalid packets

mirek_k

Zdravím a prosím zkušenější v IPv6 na Mikrotiku o radu.
Mám IPv6 zprovozněnou v malé síti a všechno funguje jak má, kromě jedné věci, se kterou si nevím rady.
Mám pravidlo ve firewallu, které považuji za základní:
add action=drop chain=forward comment="drop invalid" connection-state=invalid
Toto pravidlo generuje události 1 - 10 za sekundu, což se mi zdá hodně.
V logu jsou to všechno packety odpovědí web serverů - z vnějších IP adres z portů 80 a 443.
Typy jsou TCP (ACK,FIN), TCP (SYN,ACK), TCP (RST), TCP (ACK,FIN,PSH).

Řešil jsem to s podporou Mikrotiku, ale k ničemu jsme se nedostali.
Jen mne donutili udělat sniff, takže mám zachycený i obsah těchto packetů, pokud by to pomohlo.

Budu moc rád za radu, jak to pořešit, ale i za informaci, zda toto pravidlo používáte také a s jakým výsledkem.
Mirek

puchnar

Připnu se, mám podobný problém 😉

emel

u mna je to taktiez, ked mam tunel cez HE, pokial toto pravidlo nevypnem, tak IPv6 konektivita je v prdeli. Akonahle je vypnute, ide vsetko ako ma.

zajdee

Mozna v tom starem kernelu nefunguje dobre connection tracking. Doporucil bych dropovat invalid pakety jen pro protokoly tcp a udp.

mirek_k

Ten nápad s connection tracking je zajímavý.
Před pravidlem na blokování invalid packetů mám:
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked

Takže pokud by to měly být odpovědi web serverů, tak by se to na následující pravidlo vůbec nemělo dostat.
Dosud jsem podezíral problém s MTU, ale to je nad moje síly.

Díky všem za reakce
Mirek

pgb

mirek_k pleteš si chainy input forward. Víc k tomu bohužel nevím

mirek_k

pgb
Nepletu, jen jsem se spletl při kopírování.
Mám obě pravidla v obou chainech.
Díky za upozornění.

mirek_k

Opravdu k tomuto tématu nemá nikdo z vás, kdo máte IPv6 zvládnutou, co napsat?
Pokud by to pomohlo, doplním jakékoliv informace.
Díky
Mirek

zajdee

A jak vypada cely firewall? Co se v nem pro forward dropuje? V predchozim prispevku byl accept pro established, related, untracked, ale jen na inputu. Je i na forwardu?

mirek_k

zajdee
Ano, psal jsem to potom, že jsem se spletl při kopírování pravidel,
Obě pravidla jsou jak v Input, tak i ve Forward.
A jsou to první pravidla v chainu.
Mirek

rsaf

Umíš to nasimulovat? Např. mít na PC víceméně vše zavřené a vyvolat to otevřením nějakého konkrétního webu ? Zkoušel jsi ten sniff otevírat ve wiresharku a dívat se, co ty pakety jsou tedy zač?

Invalid jsou pakety, které by měly mít záznam v conntrack tabulce ale nemají ho tam (v podstatě takové, které se tváří, že patří do navázaného spojení, ale tohle spojení nemá záznam v conntrack tabulce).

Měl jsem na tom counteru taky něco napočítané, ale nepřibývá to.

mirek_k

rsaf
Od sebe to neumím nasimulovat. Mohl bych předřadit pravidlo s filtrem na adresu PC, jestli se něco chytí.
Pomohlo by to?
Podle vzdálených IP adres by se asi dalo tipnout, o jaké weby se jedná.

Na ten sniff jsem se samozřejmě díval, ale dokázal jsem jen najít ty packety, ale posouzení jejich obsahu je již nad moje možnosti. Když tak mohu poslat.

Díky
Mirek

mirek_k

Ještě obrázek logu:
![https://ctrlv.cz/u16w]

zajdee

Není v síti nějaký asymetrický routing? Tj. že by pakety odešly jiným rozhraním nebo jiným zařízením a nikdy by pro ně nevznikl záznam v conntrack tabulce?
Na tom screenshotu jsou regulérní adresy Googlu, Facebooku, Seznamu a dalších, takže to vypadá, že je to standardní provoz.

mirek_k

zajdee
Jediné WAN rozhraní - bridge, kde jsou dva ethernety - hlavní a záložní linka.
STP a cost řeší případné přepnutí.
V této době je záložní linky úplně vypnutá.