IPV6 & pf

07/05/2010 - 22:17 von Wilhelm Greiner | Report spam
Hi,

Habe bei einer Maschine einen AAAA Record hinzugefügt und nun connected es
sich via IPV6.

Soweit sogut, es funktioniert auch alles, Beispiel ssh.

Allerdings tritt der Effekt auf das die SSH Session nach einer Weile
abbricht und pf folgende Meldung ausgibt:

,
|00:00:02.707738 rule 53/0(match): block out on gif0: (hlim 126, next-header
|TCP (6) payload length: 956) $CLIENTIP.65292 > $SERVERIP.22: Flags [P.],
|seq 0:936, ack 1, win 16470, length 936
`

Weitere Hinweise darauf warum die Verbindung verloren ging konnte ich nicht
finden, die Verbindung funktioniert 2-3 Minuten und wird genutzt,
z.B. mit news lesen ;) - plötzlich reagiert die Session nicht mehr.


Könnte mir bitte wer Tipps geben wie man solche Fehler finden/lösen kann?


pf-rules:
# Erlaubniss Regel
pass in quick inet6 from $TRANSPORTNETZ/128 to any keep state
pass out quick inet6 from $TRANSPORTNETZ/128 to any keep state
pass in quick inet6 from $CLIENTNETZ/64 to any keep state
pass out quick inet6 from $CLIENTNETZ/64 to any keep state

# Die treffende Regel (Aus dem Bereich "cleanup Rules")
block drop out log all

Wilhelm
 

Lesen sie die antworten

#1 Helmut Schneider
08/05/2010 - 12:31 | Warnen spam
Wilhelm Greiner wrote:

Habe bei einer Maschine einen AAAA Record hinzugefügt und nun
connected es sich via IPV6.

Soweit sogut, es funktioniert auch alles, Beispiel ssh.

Allerdings tritt der Effekt auf das die SSH Session nach einer Weile
abbricht und pf folgende Meldung ausgibt:

,
> 00:00:02.707738 rule 53/0(match): block out on gif0: (hlim 126,
> next-header
|TCP (6) payload length: 956) $CLIENTIP.65292 > $SERVERIP.22: Flags
[P.],
> seq 0:936, ack 1, win 16470, length 936
`



Was ist gif0, sixxs? Und ist "zum Stundenwechsel" Zufall, oder trennt
die SSH Session immer um die Zeit?

Unabhàngig davon:

pf-rules:
# Erlaubniss Regel
pass in quick inet6 from $TRANSPORTNETZ/128 to any keep state
pass out quick inet6 from $TRANSPORTNETZ/128 to any keep state
pass in quick inet6 from $CLIENTNETZ/64 to any keep state
pass out quick inet6 from $CLIENTNETZ/64 to any keep state



Seit OpenBSD 4.1 ist "keep state" default, wenn Du also nicht gerade
ein FreeBSD 6.x nutzt, ist "keep state" redundant:

pass quick inet6 from $TRANSPORTNETZ/128 to any
pass quick inet6 from $CLIENTNETZ/64 to any



Helmut

No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn

Ähnliche fragen