Firewall em IPV6

ncampos
(usa Debian)

Enviado em 07/04/2016 - 15:25h

Devido a uma mudança de link de IPV4 para IPV6 preciso alterar as configurações de meu Firewall.
efetuei alguns processos no isc-dhcp-server porem minha rede não navega na internet,lembrando que a rede local permanece em IPV4.Preciso Utilizar os Redirecionamentos de portas, alguem ai ja esta passando por isso?
abaixo meu script firewall.

#!/bin/bash
iniciar()
{
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
#
####### eth0 = modem
####### eth1 = rede local
####### OBS: deve estar setado sempre eth do modem em regras de redirecionamento e liberacao.
###########################################################################################
########################################## ACIONANDO INTERNET PARA REDE LOCAL #####

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

##################################################### ####################################
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

########################################### IP DE LIVRE ACESSO ##############################

#iptables -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.1.95 -j RETURN #IP Liberado do Proxy


########################################### BLOQUEIO REDES SOCIAL ###########################
###### BLOQUEIO
iptables -I FORWARD -i eth1 -m string --string 'facebook' --algo bm -j DROP
###### LIBERACAO
iptables -I FORWARD -s 192.168.1.95 -m string --string 'facebook' --algo bm -j ACCEPT


############################################# REDIRECIONAMENTO DE PORTAS CAMERAS #############

iptables -t nat -A PREROUTING -i eth0 -p udp --dport 37778 -j DNAT --to-destination 192.168.1.99:37778 #cameras
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 37778 -j DNAT --to-destination 192.168.1.99:37778 #cameras


iptables -t nat -A PREROUTING -i eth0 -p udp --dport 37777 -j DNAT --to-destination 192.168.1.108:37777 #cameras
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 37777 -j DNAT --to-destination 192.168.1.108:37777 #cameras


iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 33333 -j DNAT --to-destination 192.168.1.99:33333 #cameras
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 33333 -j DNAT --to-destination 192.168.1.99:33333 #cameras

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.99:8080 #cameras


###############################################################################################
############################################# PROXY DESABILITADO/HABILITADO ##################
##### eth0 = modem ####
############################################# MODO AUTENTICACAO #############################
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.1.1.250:80 # comentada = USAR SQUID
iptables -t nat -A PREROUTING -s 192.168.1.200/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # comentada = NAO USAR SQUID

#############################################################################################
############################################################################################
############################################################################################
echo "iniciando servico"
}
parar(){
iptables -F -t nat
echo "parando servico"
}
case "$1" in
"start") iniciar;;
"stop") parar;;
"restart")parar;iniciar;;
*)echo "Use os parametros start,stop ou restart"
esac

R3nan
(usa Debian)

Enviado em 07/04/2016 - 16:24h

basicamente o comando pra gerenciar firewall no linux com ipv6 é o ip6tables tente alterar ai no seu script e faça o teste

Obs. acredito que regras de nat não existem mais com ipv6 essa é uma particularidade muito legal do ipv6 de uma pesquisa no google mais sobre ele

ncampos
(usa Debian)

Enviado em 07/04/2016 - 16:39h

Grato pelo retorno,
Estou me interand junto as pesquisas e os provedores.Provedores informam que o redirecionamento sera feito no servidor Firewall, o link IPv6 nao tera o repasse NAT,devido a isso preciso saber como repassar a conexao de entrada para rede local.

R3nan
(usa Debian)

Enviado em 07/04/2016 - 17:01h

seu provedor já te entrega o serviço de internet em ipv6 ? o pouco que eu li sobre ipv6 eles (os provedores) quando começarem a entregar ipv6, os clientes receberam uma rede e não mais um ip fixo ou dinâmico.

o que eles te entregam?

ncampos
(usa Debian)

Enviado em 07/04/2016 - 17:11h

Provedor esta me entregando um link IPV6,a placa de rede "eth0" terá que ser configurada em IPV6,porem preciso saber como repassar o link "eth0" para a rede local, eth1.
Segundo o provedor o IP "ipv6" que vir de fora,nao sera mais feito NAT no Modem e sim necessario fazer em meu servidor firewall.
gostaria de manter o ipv4 na rede local e manter os redirecionamentos atraves do firewall,nao configurar todos os terminais em ipv6.

R3nan
(usa Debian)

Enviado em 07/04/2016 - 17:34h

entendi o que vc quer fazer, vc quer usar nat com ipv6, ate onde sei isso não é possível, acho que teria que mudar a rede pra ipv6 também, vamos aguardar alguém do fórum que tenha mais contato com ipv6 para orientação...