[SOLVED] IPv6 Firewall

J

j0k4b0

Active Member
Apr 1, 2016
59
1
26
28
Hallo,

ich habe heute IPv6 aktiviert und habe dazu eine Frage bzgl. der Firewall.

Zuerst:
-> Meine VM hat eine IP bekommen.
-> Von der VM aus kann ich IPv6 Adressen.
-> Wenn ich die Firewall deaktiviere kann ich die IPv6 meiner VM anpingen und den Webserver aufrufen.
-> Wenn ich die Firewall aktiviere kann ich weder pingen noch den Webserver aufrufen.

Frage:
Wieso? Ich habe in meinen Firewall regeln immer nur die Ports / Service angegeben. Nie eine Feste IP Adresse. IPv6 arbeitet doch von den Ports genau wie IPv4, order irre ich mich?

Muss ich da noch etwas bestimmtes freischalten / aktivieren?
 
Sollte schon funktionieren. Die resultierenden Regeln für ipv6 kann man mit:

# ip6tables-save

anschauen. (Vergleich die mal mit der Ausgabe von iptables-save)
 
Hi,

es scheint als wenn die nicht übernommen werden...

Code: 
[19:43:43 root@admin]{/home/user}>ip6tables-save
# Generated by ip6tables-save v1.4.21 on Sat Apr 22 19:43:59 2017
*filter
:INPUT ACCEPT [47:3040]
:FORWARD ACCEPT [33070:3449894]
:OUTPUT ACCEPT [10:808]
COMMIT
# Completed on Sat Apr 22 19:43:59 2017
[19:43:59 root@admin]{/home/user}> iptables-save
# Generated by iptables-save v1.4.21 on Sat Apr 22 19:44:09 2017
*mangle
:PREROUTING ACCEPT [1984818:2989905874]
:INPUT ACCEPT [40815:8682117]
:FORWARD ACCEPT [1978544:2762327721]
:OUTPUT ACCEPT [26993:10495240]
:POSTROUTING ACCEPT [1573504:2722685442]
COMMIT
# Completed on Sat Apr 22 19:44:09 2017
# Generated by iptables-save v1.4.21 on Sat Apr 22 19:44:09 2017
*nat
:PREROUTING ACCEPT [440449:272429167]
:INPUT ACCEPT [641:50329]
:OUTPUT ACCEPT [814:51832]
:POSTROUTING ACCEPT [35427:3045353]
COMMIT
# Completed on Sat Apr 22 19:44:09 2017
# Generated by iptables-save v1.4.21 on Sat Apr 22 19:44:09 2017
*filter
:INPUT ACCEPT [5976:1106258]
:FORWARD ACCEPT [1255268:2676181538]
:OUTPUT ACCEPT [3377:538297]
:fail2ban-proftpd - [0:0]
:fail2ban-ssh - [0:0]
:fail2ban-ssh-ddos - [0:0]
-A INPUT -p tcp -m multiport --dports 21,20,990,989 -j fail2ban-proftpd
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh-ddos
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-proftpd -j RETURN
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh-ddos -j RETURN
COMMIT
# Completed on Sat Apr 22 19:44:09 2017
 
Welche version läuft denn?

# dpkg -l pve-firewall

Und welche rules hast Du definiert?

# cat /etc/pve/firewall/<VMID>.fw
 
Code: 
[20:16:46 root@admin]{/etc}>dpkg -l pve-firewall
Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten
| Status=Nicht/Installiert/Config/U=Entpackt/halb konFiguriert/
         Halb installiert/Trigger erWartet/Trigger anhängig
|/ Fehler?=(kein)/R=Neuinstallation notwendig (Status, Fehler: GROSS=schlecht)
||/ Name                              Version               Architektur           Beschreibung
+++-=================================-=====================-=====================-=======================================================================
ii  pve-firewall                      2.0-33                amd64                 Proxmox VE Firewall

Code: 
[20:49:50 root@admin]{/etc}>cat /etc/pve/firewall/100.fw
[OPTIONS]

enable: 1

[RULES]

IN ACCEPT -i net0 -p ipv6
GROUP sshadmin -i net0
GROUP plesk -i net0
GROUP mailserver -i net0
 
Ich bekommen mit der gleichen config eine Eintrag im ip6tables-save output:

Code: 
# ip6tables-save |grep "ipv6 -j ACCEPT"
-A veth105i0-IN -p ipv6 -j ACCEPT

Allerding glaub ich nicht das Du mit dieser Regel den Kompletten IPv6 traffic durchlässt. Aber will man
das wirklich?
 
Hallo,

hier erstmal der Output von meiner cluster.fw
Code: 
[09:29:56 root@admin]{/home/[USERNAME]}>cat /etc/pve/firewall/cluster.fw
[OPTIONS]

enable: 1

[RULES]

IN ACCEPT
OUT ACCEPT

[group ftp]

IN ACCEPT -p tcp -dport 49152:65534
IN FTP(ACCEPT)

[group mailserver]

IN Mail(ACCEPT)
IN IMAPS(ACCEPT)
IN IMAP(ACCEPT)
IN POP3S(ACCEPT)
IN POP3(ACCEPT)

[group plesk] # Plesk Ports

IN ACCEPT -p tcp -dport 49152:65534
IN ACCEPT -p tcp -dport 4190 # dovecot
IN ACCEPT -p tcp -dport 11444 # sw-cp-serverd
IN ACCEPT -p tcp -dport 11443 # sw-cp-serverd
IN ACCEPT -p tcp -dport 6308 # sw-cp-server
IN FTP(ACCEPT)
IN ACCEPT -p tcp -dport 8880 # plesk-http
IN ACCEPT -p tcp -dport 8443
IN Web(ACCEPT)

[group sshadmin] # [ADMIN HOSTNAME]

IN SSH(ACCEPT) -source [MEINE ADMIN IP]
IN SSH(DROP)


Nein, ich möchte nicht pauschal allen Traffic durchlassen - Ich möchte auf IPv6 aber genau die gleichen regeln haben wie auf IPv4.
 
Last edited:
Kannst Bitte die Ausgabe von folgendem Befehle Posten (nur den "ip6tables cmdlist" Abschnitt):

# pve-firewall compile
 
Habe mit genau deiner Konfiguration getestet, und bei mir werden alle ipv6 Regeln correct erstellt. Läuft bei Dir eventuell ein
Skript das die iptables rules manipuliert? (Wer macht diese fail2ban Einträge?)
 
Hi, hier mal die Ausgabe:

Code: 
[09:30:56 root@admin]{/home/bohlmann/filemonitor}>pve-firewall compile
ipset cmdlist:
exists PVEFW-0-management-v4 (oNetRlKZUoitycXREYmOK6CRDJ8)
        create PVEFW-0-management-v4 hash:net family inet hashsize 64 maxelem 64
        add PVEFW-0-management-v4 [IP]/24
exists PVEFW-0-management-v6 (H5WO/Pkuyz4e7OLB2uiMpG0Bsn0)
        create PVEFW-0-management-v6 hash:net family inet6 hashsize 64 maxelem 64

iptables cmdlist:
exists GROUP-mailserver-IN (wkiRsBe/220pnVtAbOOiEhz+PKE)
        -A GROUP-mailserver-IN -j MARK --set-mark 0x00000000/0x80000000
        -A GROUP-mailserver-IN -p tcp --dport 25 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-mailserver-IN -p tcp --dport 465 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-mailserver-IN -p tcp --dport 587 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-mailserver-IN -p tcp --dport 993 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-mailserver-IN -p tcp --dport 143 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-mailserver-IN -p tcp --dport 995 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-mailserver-IN -p tcp --dport 110 -g PVEFW-SET-ACCEPT-MARK
exists GROUP-mailserver-OUT (Lw5xu9Mv/MUWgQiz79URK7Q533E)
        -A GROUP-mailserver-OUT -j MARK --set-mark 0x00000000/0x80000000
exists GROUP-plesk-IN (Jfgexbe2d+pDo9ZpwPAX7nYCfbc)
        -A GROUP-plesk-IN -j MARK --set-mark 0x00000000/0x80000000
        -A GROUP-plesk-IN -p tcp --dport 49152:65534 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 4190 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 11444 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 11443 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 6308 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 21 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 8880 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 8443 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 80 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 443 -g PVEFW-SET-ACCEPT-MARK
exists GROUP-plesk-OUT (NQMm+hTKks/NY4u7JykHRDH49sE)
        -A GROUP-plesk-OUT -j MARK --set-mark 0x00000000/0x80000000
exists GROUP-sshadmin-IN (OmQKz1hI6X715snViVoVGjFFQRk)
        -A GROUP-sshadmin-IN -j MARK --set-mark 0x00000000/0x80000000
        -A GROUP-sshadmin-IN -s [IP] -p tcp --dport 22 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-sshadmin-IN -p tcp --dport 22 -j DROP
exists GROUP-sshadmin-OUT (l/JKMPI6B/uZ7lu7pl9eTCc0m/4)
        -A GROUP-sshadmin-OUT -j MARK --set-mark 0x00000000/0x80000000
exists PVEFW-Drop (zfGV4KTPaxGVOCwRUVqqqbR0IhM)
        -A PVEFW-Drop -p tcp --dport 43 -j PVEFW-reject
        -A PVEFW-Drop -j PVEFW-DropBroadcast
        -A PVEFW-Drop -p icmp -m icmp --icmp-type fragmentation-needed -j ACCEPT
        -A PVEFW-Drop -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
        -A PVEFW-Drop -m conntrack --ctstate INVALID -j DROP
        -A PVEFW-Drop -p udp --match multiport --dports 135,445 -j DROP
        -A PVEFW-Drop -p udp --dport 137:139 -j DROP
        -A PVEFW-Drop -p udp --dport 1024:65535 --sport 137 -j DROP
        -A PVEFW-Drop -p tcp --match multiport --dports 135,139,445 -j DROP
        -A PVEFW-Drop -p udp --dport 1900 -j DROP
        -A PVEFW-Drop -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
        -A PVEFW-Drop -p udp --sport 53 -j DROP
exists PVEFW-DropBroadcast (NyjHNAtFbkH7WGLamPpdVnxHy4w)
        -A PVEFW-DropBroadcast -m addrtype --dst-type BROADCAST -j DROP
        -A PVEFW-DropBroadcast -m addrtype --dst-type MULTICAST -j DROP
        -A PVEFW-DropBroadcast -m addrtype --dst-type ANYCAST -j DROP
        -A PVEFW-DropBroadcast -d 224.0.0.0/4 -j DROP
exists PVEFW-FORWARD (qnNexOcGa+y+jebd4dAUqFSp5nw)
        -A PVEFW-FORWARD -m conntrack --ctstate INVALID -j DROP
        -A PVEFW-FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
        -A PVEFW-FORWARD -m physdev --physdev-is-bridged --physdev-in fwln+ -j PVEFW-FWBR-IN
        -A PVEFW-FORWARD -m physdev --physdev-is-bridged --physdev-out fwln+ -j PVEFW-FWBR-OUT
exists PVEFW-FWBR-IN (0rXckQV1bIR4aiGllG6NM6TI4r4)
        -A PVEFW-FWBR-IN -m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs
        -A PVEFW-FWBR-IN -m physdev --physdev-is-bridged --physdev-out veth100i0 -j veth100i0-IN
        -A PVEFW-FWBR-IN -m physdev --physdev-is-bridged --physdev-out veth101i0 -j veth101i0-IN
exists PVEFW-FWBR-OUT (A2NQSlnMmR3LQqdwtOZkFPf4kDI)
        -A PVEFW-FWBR-OUT -m physdev --physdev-is-bridged --physdev-in veth100i0 -j veth100i0-OUT
        -A PVEFW-FWBR-OUT -m physdev --physdev-is-bridged --physdev-in veth101i0 -j veth101i0-OUT
exists PVEFW-HOST-IN (5MNiu1PpsoOAcYMqiHmxihv+bf8)
        -A PVEFW-HOST-IN -i lo -j ACCEPT
        -A PVEFW-HOST-IN -m conntrack --ctstate INVALID -j DROP
        -A PVEFW-HOST-IN -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
        -A PVEFW-HOST-IN -m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs
        -A PVEFW-HOST-IN -p igmp -j RETURN
        -A PVEFW-HOST-IN -j RETURN
        -A PVEFW-HOST-IN -m set --match-set PVEFW-0-management-v4 src -p tcp --dport 8006 -j RETURN
        -A PVEFW-HOST-IN -m set --match-set PVEFW-0-management-v4 src -p tcp --dport 5900:5999 -j RETURN
        -A PVEFW-HOST-IN -m set --match-set PVEFW-0-management-v4 src -p tcp --dport 3128 -j RETURN
        -A PVEFW-HOST-IN -m set --match-set PVEFW-0-management-v4 src -p tcp --dport 22 -j RETURN
        -A PVEFW-HOST-IN -s [IP]/24 -d IP]/24 -p udp --dport 5404:5405 -j RETURN
        -A PVEFW-HOST-IN -s IP]/24 -m addrtype --dst-type MULTICAST -p udp --dport 5404:5405 -j RETURN
        -A PVEFW-HOST-IN -j PVEFW-Drop
        -A PVEFW-HOST-IN -j DROP
exists PVEFW-HOST-OUT (mEJTxnx55JmWQZWJXamOiEgQgXM)
        -A PVEFW-HOST-OUT -o lo -j ACCEPT
        -A PVEFW-HOST-OUT -m conntrack --ctstate INVALID -j DROP
        -A PVEFW-HOST-OUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
        -A PVEFW-HOST-OUT -p igmp -j RETURN
        -A PVEFW-HOST-OUT -j RETURN
        -A PVEFW-HOST-OUT -d IP]/24 -p tcp --dport 8006 -j RETURN
        -A PVEFW-HOST-OUT -d IP]/24 -p tcp --dport 22 -j RETURN
        -A PVEFW-HOST-OUT -d IP]/24 -p tcp --dport 5900:5999 -j RETURN
        -A PVEFW-HOST-OUT -d IP]/24 -p tcp --dport 3128 -j RETURN
        -A PVEFW-HOST-OUT -d IP]/24 -p udp --dport 5404:5405 -j RETURN
        -A PVEFW-HOST-OUT -m addrtype --dst-type MULTICAST -p udp --dport 5404:5405 -j RETURN
        -A PVEFW-HOST-OUT -j RETURN
exists PVEFW-INPUT (+5iMmLaxKXynOB/+5xibfx7WhFk)
        -A PVEFW-INPUT -j PVEFW-HOST-IN
exists PVEFW-OUTPUT (LjHoZeSSiWAG3+2ZAyL/xuEehd0)
        -A PVEFW-OUTPUT -j PVEFW-HOST-OUT
exists PVEFW-Reject (3gYHaSHlZx5luiKyM0oCsTVaXi4)
        -A PVEFW-Reject -p tcp --dport 43 -j PVEFW-reject
        -A PVEFW-Reject -j PVEFW-DropBroadcast
        -A PVEFW-Reject -p icmp -m icmp --icmp-type fragmentation-needed -j ACCEPT
        -A PVEFW-Reject -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
        -A PVEFW-Reject -m conntrack --ctstate INVALID -j DROP
        -A PVEFW-Reject -p udp --match multiport --dports 135,445 -j PVEFW-reject
        -A PVEFW-Reject -p udp --dport 137:139 -j PVEFW-reject
        -A PVEFW-Reject -p udp --dport 1024:65535 --sport 137 -j PVEFW-reject
        -A PVEFW-Reject -p tcp --match multiport --dports 135,139,445 -j PVEFW-reject
        -A PVEFW-Reject -p udp --dport 1900 -j DROP
        -A PVEFW-Reject -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
        -A PVEFW-Reject -p udp --sport 53 -j DROP
exists PVEFW-SET-ACCEPT-MARK (K9jRaFw5I2si1xj1eGi18ZF/Ng0)
        -A PVEFW-SET-ACCEPT-MARK -j MARK --set-mark 0x80000000/0x80000000
exists PVEFW-logflags (ewllejV/lK5Rjmt/E3xIODQgfYg)
        -A PVEFW-logflags -j DROP
exists PVEFW-reject (KM/fOv4KvGn8XvMqxoiRCdvlji8)
        -A PVEFW-reject -m addrtype --dst-type BROADCAST -j DROP
        -A PVEFW-reject -s 224.0.0.0/4 -j DROP
        -A PVEFW-reject -p icmp -j DROP
        -A PVEFW-reject -p tcp -j REJECT --reject-with tcp-reset
        -A PVEFW-reject -p udp -j REJECT --reject-with icmp-port-unreachable
        -A PVEFW-reject -p icmp -j REJECT --reject-with icmp-host-unreachable
        -A PVEFW-reject -j REJECT --reject-with icmp-host-prohibited
exists PVEFW-smurflog (k8rhuGB1IUidugKwAufSGGgKAZ4)
        -A PVEFW-smurflog -j DROP
exists PVEFW-smurfs (HssVe5QCBXd5mc9kC88749+7fag)
        -A PVEFW-smurfs -s 0.0.0.0/32 -j RETURN
        -A PVEFW-smurfs -m addrtype --src-type BROADCAST -g PVEFW-smurflog
        -A PVEFW-smurfs -s 224.0.0.0/4 -g PVEFW-smurflog
exists PVEFW-tcpflags (CMFojwNPqllyqD67NeI5m+bP5mo)
        -A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -g PVEFW-logflags
        -A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -g PVEFW-logflags
        -A PVEFW-tcpflags -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -g PVEFW-logflags
        -A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -g PVEFW-logflags
        -A PVEFW-tcpflags -p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -g PVEFW-logflags
exists veth100i0-IN (RuLSUOkwXuaH5xuOYCW/Qf0VS5A)
        -A veth100i0-IN -p udp --dport 68 --sport 67 -j ACCEPT
        -A veth100i0-IN -p ipv6 -j ACCEPT
        -A veth100i0-IN -j GROUP-sshadmin-IN
        -A veth100i0-IN -m mark --mark 0x80000000/0x80000000 -j ACCEPT
        -A veth100i0-IN -j GROUP-plesk-IN
        -A veth100i0-IN -m mark --mark 0x80000000/0x80000000 -j ACCEPT
        -A veth100i0-IN -j GROUP-mailserver-IN
        -A veth100i0-IN -m mark --mark 0x80000000/0x80000000 -j ACCEPT
        -A veth100i0-IN -j PVEFW-Drop
        -A veth100i0-IN -j DROP
exists veth100i0-OUT (fHYRLFCeibyyqSuFVkUeBEA7+4k)
        -A veth100i0-OUT -p udp --dport 67 --sport 68 -g PVEFW-SET-ACCEPT-MARK
        -A veth100i0-OUT -m mac ! --mac-source 56:57:AD:CA:1B:2C -j DROP
        -A veth100i0-OUT -j MARK --set-mark 0x00000000/0x80000000
        -A veth100i0-OUT -j GROUP-sshadmin-OUT
        -A veth100i0-OUT -m mark --mark 0x80000000/0x80000000 -j RETURN
        -A veth100i0-OUT -j GROUP-plesk-OUT
        -A veth100i0-OUT -m mark --mark 0x80000000/0x80000000 -j RETURN
        -A veth100i0-OUT -j GROUP-mailserver-OUT
        -A veth100i0-OUT -m mark --mark 0x80000000/0x80000000 -j RETURN
        -A veth100i0-OUT -g PVEFW-SET-ACCEPT-MARK
exists veth101i0-IN (2my/0WVp2LbtIYXXgyi41jQscFg)
        -A veth101i0-IN -p udp --dport 68 --sport 67 -j ACCEPT
        -A veth101i0-IN -p tcp --dport 6697 -j ACCEPT
        -A veth101i0-IN -p tcp --dport 6667 -j ACCEPT
        -A veth101i0-IN -p udp --dport 1194 -j ACCEPT
        -A veth101i0-IN -p tcp --dport 943 -j ACCEPT
        -A veth101i0-IN -j GROUP-sshadmin-IN
        -A veth101i0-IN -m mark --mark 0x80000000/0x80000000 -j ACCEPT
        -A veth101i0-IN -j PVEFW-Drop
        -A veth101i0-IN -j DROP
exists veth101i0-OUT (7NTuxNxF46wRlkLLSi/Kxt5J7GI)
        -A veth101i0-OUT -p udp --dport 67 --sport 68 -g PVEFW-SET-ACCEPT-MARK
        -A veth101i0-OUT -m mac ! --mac-source 32:2F:FD:10:E5:78 -j DROP
        -A veth101i0-OUT -j MARK --set-mark 0x00000000/0x80000000
        -A veth101i0-OUT -j GROUP-sshadmin-OUT
        -A veth101i0-OUT -m mark --mark 0x80000000/0x80000000 -j RETURN
        -A veth101i0-OUT -g PVEFW-SET-ACCEPT-MARK

ip6tables cmdlist:
exists GROUP-mailserver-IN (wkiRsBe/220pnVtAbOOiEhz+PKE)
        -A GROUP-mailserver-IN -j MARK --set-mark 0x00000000/0x80000000
        -A GROUP-mailserver-IN -p tcp --dport 25 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-mailserver-IN -p tcp --dport 465 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-mailserver-IN -p tcp --dport 587 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-mailserver-IN -p tcp --dport 993 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-mailserver-IN -p tcp --dport 143 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-mailserver-IN -p tcp --dport 995 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-mailserver-IN -p tcp --dport 110 -g PVEFW-SET-ACCEPT-MARK
exists GROUP-mailserver-OUT (Lw5xu9Mv/MUWgQiz79URK7Q533E)
        -A GROUP-mailserver-OUT -j MARK --set-mark 0x00000000/0x80000000
exists GROUP-plesk-IN (Jfgexbe2d+pDo9ZpwPAX7nYCfbc)
        -A GROUP-plesk-IN -j MARK --set-mark 0x00000000/0x80000000
        -A GROUP-plesk-IN -p tcp --dport 49152:65534 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 4190 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 11444 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 11443 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 6308 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 21 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 8880 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 8443 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 80 -g PVEFW-SET-ACCEPT-MARK
        -A GROUP-plesk-IN -p tcp --dport 443 -g PVEFW-SET-ACCEPT-MARK
exists GROUP-plesk-OUT (NQMm+hTKks/NY4u7JykHRDH49sE)
        -A GROUP-plesk-OUT -j MARK --set-mark 0x00000000/0x80000000
exists GROUP-sshadmin-IN (7asLEoxxNS5GUmY6298e8MGD6Uk)
        -A GROUP-sshadmin-IN -j MARK --set-mark 0x00000000/0x80000000
        -A GROUP-sshadmin-IN -p tcp --dport 22 -j DROP
exists GROUP-sshadmin-OUT (l/JKMPI6B/uZ7lu7pl9eTCc0m/4)
        -A GROUP-sshadmin-OUT -j MARK --set-mark 0x00000000/0x80000000
exists PVEFW-Drop (6rTP78QJYMPsnyC3qqgpc6EzqdI)
        -A PVEFW-Drop -p tcp --dport 43 -j PVEFW-reject
        -A PVEFW-Drop -j PVEFW-DropBroadcast
        -A PVEFW-Drop -p icmpv6 -m icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
        -A PVEFW-Drop -p icmpv6 -m icmpv6 --icmpv6-type time-exceeded -j ACCEPT
        -A PVEFW-Drop -p icmpv6 -m icmpv6 --icmpv6-type packet-too-big -j ACCEPT
        -A PVEFW-Drop -m conntrack --ctstate INVALID -j DROP
        -A PVEFW-Drop -p udp --match multiport --dports 135,445 -j DROP
        -A PVEFW-Drop -p udp --dport 137:139 -j DROP
        -A PVEFW-Drop -p udp --dport 1024:65535 --sport 137 -j DROP
        -A PVEFW-Drop -p tcp --match multiport --dports 135,139,445 -j DROP
        -A PVEFW-Drop -p udp --dport 1900 -j DROP
        -A PVEFW-Drop -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
        -A PVEFW-Drop -p udp --sport 53 -j DROP
exists PVEFW-DropBroadcast (8Krk5Nh8pDZOOc7BQAbM6PlyFSU)
        -A PVEFW-DropBroadcast -d ff00::/8 -j DROP
exists PVEFW-FORWARD (qnNexOcGa+y+jebd4dAUqFSp5nw)
        -A PVEFW-FORWARD -m conntrack --ctstate INVALID -j DROP
        -A PVEFW-FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
        -A PVEFW-FORWARD -m physdev --physdev-is-bridged --physdev-in fwln+ -j PVEFW-FWBR-IN
        -A PVEFW-FORWARD -m physdev --physdev-is-bridged --physdev-out fwln+ -j PVEFW-FWBR-OUT
exists PVEFW-FWBR-IN (unYsSsya23BLmdEh5lycLdAz1vY)
        -A PVEFW-FWBR-IN -m physdev --physdev-is-bridged --physdev-out veth100i0 -j veth100i0-IN
        -A PVEFW-FWBR-IN -m physdev --physdev-is-bridged --physdev-out veth101i0 -j veth101i0-IN
exists PVEFW-FWBR-OUT (A2NQSlnMmR3LQqdwtOZkFPf4kDI)
        -A PVEFW-FWBR-OUT -m physdev --physdev-is-bridged --physdev-in veth100i0 -j veth100i0-OUT
        -A PVEFW-FWBR-OUT -m physdev --physdev-is-bridged --physdev-in veth101i0 -j veth101i0-OUT
exists PVEFW-HOST-IN (qCzN8eWZCVradwz/TuktPyOcKyE)
        -A PVEFW-HOST-IN -i lo -j ACCEPT
        -A PVEFW-HOST-IN -m conntrack --ctstate INVALID -j DROP
        -A PVEFW-HOST-IN -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
        -A PVEFW-HOST-IN -p icmpv6 --icmpv6-type router-solicitation -j RETURN
        -A PVEFW-HOST-IN -p icmpv6 --icmpv6-type router-advertisement -j RETURN
        -A PVEFW-HOST-IN -p icmpv6 --icmpv6-type neighbor-solicitation -j RETURN
        -A PVEFW-HOST-IN -p icmpv6 --icmpv6-type neighbor-advertisement -j RETURN
        -A PVEFW-HOST-IN -p igmp -j RETURN
        -A PVEFW-HOST-IN -j RETURN
        -A PVEFW-HOST-IN -m set --match-set PVEFW-0-management-v6 src -p tcp --dport 8006 -j RETURN
        -A PVEFW-HOST-IN -m set --match-set PVEFW-0-management-v6 src -p tcp --dport 5900:5999 -j RETURN
        -A PVEFW-HOST-IN -m set --match-set PVEFW-0-management-v6 src -p tcp --dport 3128 -j RETURN
        -A PVEFW-HOST-IN -m set --match-set PVEFW-0-management-v6 src -p tcp --dport 22 -j RETURN
        -A PVEFW-HOST-IN -j PVEFW-Drop
        -A PVEFW-HOST-IN -j DROP
exists PVEFW-HOST-OUT (Dhf44AUWQ1Zw8iiH6+QpLPKKfQc)
        -A PVEFW-HOST-OUT -o lo -j ACCEPT
        -A PVEFW-HOST-OUT -m conntrack --ctstate INVALID -j DROP
        -A PVEFW-HOST-OUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
        -A PVEFW-HOST-OUT -p icmpv6 --icmpv6-type router-solicitation -j RETURN
        -A PVEFW-HOST-OUT -p icmpv6 --icmpv6-type neighbor-solicitation -j RETURN
        -A PVEFW-HOST-OUT -p icmpv6 --icmpv6-type neighbor-advertisement -j RETURN
        -A PVEFW-HOST-OUT -p igmp -j RETURN
        -A PVEFW-HOST-OUT -j RETURN
        -A PVEFW-HOST-OUT -j RETURN
exists PVEFW-INPUT (+5iMmLaxKXynOB/+5xibfx7WhFk)
        -A PVEFW-INPUT -j PVEFW-HOST-IN
exists PVEFW-OUTPUT (LjHoZeSSiWAG3+2ZAyL/xuEehd0)
        -A PVEFW-OUTPUT -j PVEFW-HOST-OUT
exists PVEFW-Reject (c1gnTzuLzZ58B3YP36bkBEsyxpQ)
        -A PVEFW-Reject -p tcp --dport 43 -j PVEFW-reject
        -A PVEFW-Reject -j PVEFW-DropBroadcast
        -A PVEFW-Reject -p icmpv6 -m icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
        -A PVEFW-Reject -p icmpv6 -m icmpv6 --icmpv6-type time-exceeded -j ACCEPT
        -A PVEFW-Reject -p icmpv6 -m icmpv6 --icmpv6-type packet-too-big -j ACCEPT
        -A PVEFW-Reject -m conntrack --ctstate INVALID -j DROP
        -A PVEFW-Reject -p udp --match multiport --dports 135,445 -j PVEFW-reject
        -A PVEFW-Reject -p udp --dport 137:139 -j PVEFW-reject
        -A PVEFW-Reject -p udp --dport 1024:65535 --sport 137 -j PVEFW-reject
        -A PVEFW-Reject -p tcp --match multiport --dports 135,139,445 -j PVEFW-reject
        -A PVEFW-Reject -p udp --dport 1900 -j DROP
        -A PVEFW-Reject -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
        -A PVEFW-Reject -p udp --sport 53 -j DROP
exists PVEFW-SET-ACCEPT-MARK (K9jRaFw5I2si1xj1eGi18ZF/Ng0)
        -A PVEFW-SET-ACCEPT-MARK -j MARK --set-mark 0x80000000/0x80000000
exists PVEFW-logflags (ewllejV/lK5Rjmt/E3xIODQgfYg)
        -A PVEFW-logflags -j DROP
exists PVEFW-reject (TeZhczhc17LK2pqE7UkGmRMJLNU)
        -A PVEFW-reject -p icmpv6 -j DROP
        -A PVEFW-reject -p tcp -j REJECT --reject-with tcp-reset
exists PVEFW-tcpflags (CMFojwNPqllyqD67NeI5m+bP5mo)
        -A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -g PVEFW-logflags
        -A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -g PVEFW-logflags
        -A PVEFW-tcpflags -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -g PVEFW-logflags
        -A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -g PVEFW-logflags
        -A PVEFW-tcpflags -p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -g PVEFW-logflags
exists veth100i0-IN (eyfLXCpq7S/23VrhBb6qgpzQ+lE)
        -A veth100i0-IN -p udp --dport 546 --sport 547 -j ACCEPT
        -A veth100i0-IN -p icmpv6 --icmpv6-type router-solicitation -j ACCEPT
        -A veth100i0-IN -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
        -A veth100i0-IN -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
        -A veth100i0-IN -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        -A veth100i0-IN -p ipv6 -j ACCEPT
        -A veth100i0-IN -j GROUP-sshadmin-IN
        -A veth100i0-IN -m mark --mark 0x80000000/0x80000000 -j ACCEPT
        -A veth100i0-IN -j GROUP-plesk-IN
        -A veth100i0-IN -m mark --mark 0x80000000/0x80000000 -j ACCEPT
        -A veth100i0-IN -j GROUP-mailserver-IN
        -A veth100i0-IN -m mark --mark 0x80000000/0x80000000 -j ACCEPT
        -A veth100i0-IN -j PVEFW-Drop
        -A veth100i0-IN -j DROP
exists veth100i0-OUT (H9dLwjJtCjApjvQbOChc7vrSdzE)
        -A veth100i0-OUT -p udp --dport 547 --sport 546 -g PVEFW-SET-ACCEPT-MARK
        -A veth100i0-OUT -m mac ! --mac-source 56:57:AD:CA:1B:2C -j DROP
        -A veth100i0-OUT -p icmpv6 --icmpv6-type router-advertisement -j DROP
        -A veth100i0-OUT -j MARK --set-mark 0x00000000/0x80000000
        -A veth100i0-OUT -p icmpv6 --icmpv6-type router-solicitation -g PVEFW-SET-ACCEPT-MARK
        -A veth100i0-OUT -p icmpv6 --icmpv6-type neighbor-solicitation -g PVEFW-SET-ACCEPT-MARK
        -A veth100i0-OUT -p icmpv6 --icmpv6-type neighbor-advertisement -g PVEFW-SET-ACCEPT-MARK
        -A veth100i0-OUT -j GROUP-sshadmin-OUT
        -A veth100i0-OUT -m mark --mark 0x80000000/0x80000000 -j RETURN
        -A veth100i0-OUT -j GROUP-plesk-OUT
        -A veth100i0-OUT -m mark --mark 0x80000000/0x80000000 -j RETURN
        -A veth100i0-OUT -j GROUP-mailserver-OUT
        -A veth100i0-OUT -m mark --mark 0x80000000/0x80000000 -j RETURN
        -A veth100i0-OUT -g PVEFW-SET-ACCEPT-MARK
exists veth101i0-IN (LWjLw3vqQpvzk3r07Ntp+CRVBxQ)
        -A veth101i0-IN -p udp --dport 546 --sport 547 -j ACCEPT
        -A veth101i0-IN -p icmpv6 --icmpv6-type router-solicitation -j ACCEPT
        -A veth101i0-IN -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
        -A veth101i0-IN -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
        -A veth101i0-IN -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        -A veth101i0-IN -p tcp --dport 6697 -j ACCEPT
        -A veth101i0-IN -p tcp --dport 6667 -j ACCEPT
        -A veth101i0-IN -p udp --dport 1194 -j ACCEPT
        -A veth101i0-IN -p tcp --dport 943 -j ACCEPT
        -A veth101i0-IN -j GROUP-sshadmin-IN
        -A veth101i0-IN -m mark --mark 0x80000000/0x80000000 -j ACCEPT
        -A veth101i0-IN -j PVEFW-Drop
        -A veth101i0-IN -j DROP
exists veth101i0-OUT (pe568M9YVwN9IyL3LsTRw465t9w)
        -A veth101i0-OUT -p udp --dport 547 --sport 546 -g PVEFW-SET-ACCEPT-MARK
        -A veth101i0-OUT -m mac ! --mac-source 32:2F:FD:10:E5:78 -j DROP
        -A veth101i0-OUT -p icmpv6 --icmpv6-type router-advertisement -j DROP
        -A veth101i0-OUT -j MARK --set-mark 0x00000000/0x80000000
        -A veth101i0-OUT -p icmpv6 --icmpv6-type router-solicitation -g PVEFW-SET-ACCEPT-MARK
        -A veth101i0-OUT -p icmpv6 --icmpv6-type neighbor-solicitation -g PVEFW-SET-ACCEPT-MARK
        -A veth101i0-OUT -p icmpv6 --icmpv6-type neighbor-advertisement -g PVEFW-SET-ACCEPT-MARK
        -A veth101i0-OUT -j GROUP-sshadmin-OUT
        -A veth101i0-OUT -m mark --mark 0x80000000/0x80000000 -j RETURN
        -A veth101i0-OUT -g PVEFW-SET-ACCEPT-MARK
no changes


Ich denke mal die werden von dem fail2ban service geschrieben
 
Hi,

ok, das Problem ist fail2ban - Der scheint da was zu zerhauen. Ich schaue mir das mal an. Ich danke dir!
 
Hi,

sehr merkwürdig. Grade funktioniert es nicht mehr - Egal ob fail2ban gestoppt ist oder nicht.

Habe auch nochmal pve-firewall compile ausgeführt danach - Leider ohne Wirkung. IPv6 Anfragen werden wieder geblockt.

Wo ich eben geschrieben hatte ging es nur ganz kurz...
 
Hi,

eigentlich jetzt nicht mehr. Sieht jetzt auch eigl aus als wenn es passt oder nicht?

Hier nochmal die Ausgabe von ip6tables-save

Code: 
# Generated by ip6tables-save v1.4.21 on Sun Apr 23 18:13:44 2017
*filter
:INPUT ACCEPT [505:30584]
:FORWARD ACCEPT [199764:21446504]
:OUTPUT ACCEPT [94:7188]
:GROUP-mailserver-IN - [0:0]
:GROUP-mailserver-OUT - [0:0]
:GROUP-plesk-IN - [0:0]
:GROUP-plesk-OUT - [0:0]
:GROUP-sshadmin-IN - [0:0]
:GROUP-sshadmin-OUT - [0:0]
:PVEFW-Drop - [0:0]
:PVEFW-DropBroadcast - [0:0]
:PVEFW-FORWARD - [0:0]
:PVEFW-FWBR-IN - [0:0]
:PVEFW-FWBR-OUT - [0:0]
:PVEFW-HOST-IN - [0:0]
:PVEFW-HOST-OUT - [0:0]
:PVEFW-INPUT - [0:0]
:PVEFW-OUTPUT - [0:0]
:PVEFW-Reject - [0:0]
:PVEFW-SET-ACCEPT-MARK - [0:0]
:PVEFW-logflags - [0:0]
:PVEFW-reject - [0:0]
:PVEFW-tcpflags - [0:0]
:veth100i0-IN - [0:0]
:veth100i0-OUT - [0:0]
:veth101i0-IN - [0:0]
:veth101i0-OUT - [0:0]
-A INPUT -j PVEFW-INPUT
-A FORWARD -j PVEFW-FORWARD
-A OUTPUT -j PVEFW-OUTPUT
-A GROUP-mailserver-IN -j MARK --set-xmark 0x0/0x80000000
-A GROUP-mailserver-IN -p tcp -m tcp --dport 25 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-mailserver-IN -p tcp -m tcp --dport 465 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-mailserver-IN -p tcp -m tcp --dport 587 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-mailserver-IN -p tcp -m tcp --dport 993 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-mailserver-IN -p tcp -m tcp --dport 143 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-mailserver-IN -p tcp -m tcp --dport 995 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-mailserver-IN -p tcp -m tcp --dport 110 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-mailserver-IN -m comment --comment "PVESIG:wkiRsBe/220pnVtAbOOiEhz+PKE"
-A GROUP-mailserver-OUT -j MARK --set-xmark 0x0/0x80000000
-A GROUP-mailserver-OUT -m comment --comment "PVESIG:Lw5xu9Mv/MUWgQiz79URK7Q533E"
-A GROUP-plesk-IN -j MARK --set-xmark 0x0/0x80000000
-A GROUP-plesk-IN -p tcp -m tcp --dport 49152:65534 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-plesk-IN -p tcp -m tcp --dport 4190 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-plesk-IN -p tcp -m tcp --dport 11444 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-plesk-IN -p tcp -m tcp --dport 11443 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-plesk-IN -p tcp -m tcp --dport 6308 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-plesk-IN -p tcp -m tcp --dport 21 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-plesk-IN -p tcp -m tcp --dport 8880 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-plesk-IN -p tcp -m tcp --dport 8443 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-plesk-IN -p tcp -m tcp --dport 80 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-plesk-IN -p tcp -m tcp --dport 443 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-plesk-IN -m comment --comment "PVESIG:Jfgexbe2d+pDo9ZpwPAX7nYCfbc"
-A GROUP-plesk-OUT -j MARK --set-xmark 0x0/0x80000000
-A GROUP-plesk-OUT -m comment --comment "PVESIG:NQMm+hTKks/NY4u7JykHRDH49sE"
-A GROUP-sshadmin-IN -j MARK --set-xmark 0x0/0x80000000
-A GROUP-sshadmin-IN -p tcp -m tcp --dport 22 -j DROP
-A GROUP-sshadmin-IN -m comment --comment "PVESIG:7asLEoxxNS5GUmY6298e8MGD6Uk"
-A GROUP-sshadmin-OUT -j MARK --set-xmark 0x0/0x80000000
-A GROUP-sshadmin-OUT -m comment --comment "PVESIG:l/JKMPI6B/uZ7lu7pl9eTCc0m/4"
-A PVEFW-Drop -p tcp -m tcp --dport 43 -j PVEFW-reject
-A PVEFW-Drop -j PVEFW-DropBroadcast
-A PVEFW-Drop -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A PVEFW-Drop -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A PVEFW-Drop -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A PVEFW-Drop -m conntrack --ctstate INVALID -j DROP
-A PVEFW-Drop -p udp -m multiport --dports 135,445 -j DROP
-A PVEFW-Drop -p udp -m udp --dport 137:139 -j DROP
-A PVEFW-Drop -p udp -m udp --sport 137 --dport 1024:65535 -j DROP
-A PVEFW-Drop -p tcp -m multiport --dports 135,139,445 -j DROP
-A PVEFW-Drop -p udp -m udp --dport 1900 -j DROP
-A PVEFW-Drop -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A PVEFW-Drop -p udp -m udp --sport 53 -j DROP
-A PVEFW-Drop -m comment --comment "PVESIG:6rTP78QJYMPsnyC3qqgpc6EzqdI"
-A PVEFW-DropBroadcast -d ff00::/8 -j DROP
-A PVEFW-DropBroadcast -m comment --comment "PVESIG:8Krk5Nh8pDZOOc7BQAbM6PlyFSU"
-A PVEFW-FORWARD -m conntrack --ctstate INVALID -j DROP
-A PVEFW-FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PVEFW-FORWARD -m physdev --physdev-in fwln+ --physdev-is-bridged -j PVEFW-FWBR-IN
-A PVEFW-FORWARD -m physdev --physdev-out fwln+ --physdev-is-bridged -j PVEFW-FWBR-OUT
-A PVEFW-FORWARD -m comment --comment "PVESIG:qnNexOcGa+y+jebd4dAUqFSp5nw"
-A PVEFW-FWBR-IN -m physdev --physdev-out veth100i0 --physdev-is-bridged -j veth100i0-IN
-A PVEFW-FWBR-IN -m physdev --physdev-out veth101i0 --physdev-is-bridged -j veth101i0-IN
-A PVEFW-FWBR-IN -m comment --comment "PVESIG:unYsSsya23BLmdEh5lycLdAz1vY"
-A PVEFW-FWBR-OUT -m physdev --physdev-in veth100i0 --physdev-is-bridged -j veth100i0-OUT
-A PVEFW-FWBR-OUT -m physdev --physdev-in veth101i0 --physdev-is-bridged -j veth101i0-OUT
-A PVEFW-FWBR-OUT -m comment --comment "PVESIG:A2NQSlnMmR3LQqdwtOZkFPf4kDI"
-A PVEFW-HOST-IN -i lo -j ACCEPT
-A PVEFW-HOST-IN -m conntrack --ctstate INVALID -j DROP
-A PVEFW-HOST-IN -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PVEFW-HOST-IN -p ipv6-icmp -m icmp6 --icmpv6-type 133 -j RETURN
-A PVEFW-HOST-IN -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j RETURN
-A PVEFW-HOST-IN -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j RETURN
-A PVEFW-HOST-IN -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j RETURN
-A PVEFW-HOST-IN -p igmp -j RETURN
-A PVEFW-HOST-IN -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v6 src -m tcp --dport 8006 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v6 src -m tcp --dport 5900:5999 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v6 src -m tcp --dport 3128 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v6 src -m tcp --dport 22 -j RETURN
-A PVEFW-HOST-IN -j PVEFW-Drop
-A PVEFW-HOST-IN -j DROP
-A PVEFW-HOST-IN -m comment --comment "PVESIG:qCzN8eWZCVradwz/TuktPyOcKyE"
-A PVEFW-HOST-OUT -o lo -j ACCEPT
-A PVEFW-HOST-OUT -m conntrack --ctstate INVALID -j DROP
-A PVEFW-HOST-OUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PVEFW-HOST-OUT -p ipv6-icmp -m icmp6 --icmpv6-type 133 -j RETURN
-A PVEFW-HOST-OUT -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j RETURN
-A PVEFW-HOST-OUT -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j RETURN
-A PVEFW-HOST-OUT -p igmp -j RETURN
-A PVEFW-HOST-OUT -j RETURN
-A PVEFW-HOST-OUT -j RETURN
-A PVEFW-HOST-OUT -m comment --comment "PVESIG:Dhf44AUWQ1Zw8iiH6+QpLPKKfQc"
-A PVEFW-INPUT -j PVEFW-HOST-IN
-A PVEFW-INPUT -m comment --comment "PVESIG:+5iMmLaxKXynOB/+5xibfx7WhFk"
-A PVEFW-OUTPUT -j PVEFW-HOST-OUT
-A PVEFW-OUTPUT -m comment --comment "PVESIG:LjHoZeSSiWAG3+2ZAyL/xuEehd0"
-A PVEFW-Reject -p tcp -m tcp --dport 43 -j PVEFW-reject
-A PVEFW-Reject -j PVEFW-DropBroadcast
-A PVEFW-Reject -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A PVEFW-Reject -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A PVEFW-Reject -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A PVEFW-Reject -m conntrack --ctstate INVALID -j DROP
-A PVEFW-Reject -p udp -m multiport --dports 135,445 -j PVEFW-reject
-A PVEFW-Reject -p udp -m udp --dport 137:139 -j PVEFW-reject
-A PVEFW-Reject -p udp -m udp --sport 137 --dport 1024:65535 -j PVEFW-reject
-A PVEFW-Reject -p tcp -m multiport --dports 135,139,445 -j PVEFW-reject
-A PVEFW-Reject -p udp -m udp --dport 1900 -j DROP
-A PVEFW-Reject -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A PVEFW-Reject -p udp -m udp --sport 53 -j DROP
-A PVEFW-Reject -m comment --comment "PVESIG:c1gnTzuLzZ58B3YP36bkBEsyxpQ"
-A PVEFW-SET-ACCEPT-MARK -j MARK --set-xmark 0x80000000/0x80000000
-A PVEFW-SET-ACCEPT-MARK -m comment --comment "PVESIG:K9jRaFw5I2si1xj1eGi18ZF/Ng0"
-A PVEFW-logflags -j DROP
-A PVEFW-logflags -m comment --comment "PVESIG:ewllejV/lK5Rjmt/E3xIODQgfYg"
-A PVEFW-reject -p ipv6-icmp -j DROP
-A PVEFW-reject -p tcp -j REJECT --reject-with tcp-reset
-A PVEFW-reject -m comment --comment "PVESIG:TeZhczhc17LK2pqE7UkGmRMJLNU"
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -g PVEFW-logflags
-A PVEFW-tcpflags -m comment --comment "PVESIG:CMFojwNPqllyqD67NeI5m+bP5mo"
-A veth100i0-IN -p udp -m udp --sport 547 --dport 546 -j ACCEPT
-A veth100i0-IN -p ipv6-icmp -m icmp6 --icmpv6-type 133 -j ACCEPT
-A veth100i0-IN -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j ACCEPT
-A veth100i0-IN -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j ACCEPT
-A veth100i0-IN -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j ACCEPT
-A veth100i0-IN -j GROUP-sshadmin-IN
-A veth100i0-IN -m mark --mark 0x80000000/0x80000000 -j ACCEPT
-A veth100i0-IN -j GROUP-plesk-IN
-A veth100i0-IN -m mark --mark 0x80000000/0x80000000 -j ACCEPT
-A veth100i0-IN -j GROUP-mailserver-IN
-A veth100i0-IN -m mark --mark 0x80000000/0x80000000 -j ACCEPT
-A veth100i0-IN -j PVEFW-Drop
-A veth100i0-IN -j DROP
-A veth100i0-IN -m comment --comment "PVESIG:39hNwzwadEstijUOukuHlxz15mM"
-A veth100i0-OUT -p udp -m udp --sport 546 --dport 547 -g PVEFW-SET-ACCEPT-MARK
-A veth100i0-OUT -m mac ! --mac-source 56:57:AD:CA:1B:2C -j DROP
-A veth100i0-OUT -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j DROP
-A veth100i0-OUT -j MARK --set-xmark 0x0/0x80000000
-A veth100i0-OUT -p ipv6-icmp -m icmp6 --icmpv6-type 133 -g PVEFW-SET-ACCEPT-MARK
-A veth100i0-OUT -p ipv6-icmp -m icmp6 --icmpv6-type 135 -g PVEFW-SET-ACCEPT-MARK
-A veth100i0-OUT -p ipv6-icmp -m icmp6 --icmpv6-type 136 -g PVEFW-SET-ACCEPT-MARK
-A veth100i0-OUT -j GROUP-sshadmin-OUT
-A veth100i0-OUT -m mark --mark 0x80000000/0x80000000 -j RETURN
-A veth100i0-OUT -j GROUP-plesk-OUT
-A veth100i0-OUT -m mark --mark 0x80000000/0x80000000 -j RETURN
-A veth100i0-OUT -j GROUP-mailserver-OUT
-A veth100i0-OUT -m mark --mark 0x80000000/0x80000000 -j RETURN
-A veth100i0-OUT -g PVEFW-SET-ACCEPT-MARK
-A veth100i0-OUT -m comment --comment "PVESIG:H9dLwjJtCjApjvQbOChc7vrSdzE"
-A veth101i0-IN -p udp -m udp --sport 547 --dport 546 -j ACCEPT
-A veth101i0-IN -p ipv6-icmp -m icmp6 --icmpv6-type 133 -j ACCEPT
-A veth101i0-IN -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j ACCEPT
-A veth101i0-IN -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j ACCEPT
-A veth101i0-IN -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j ACCEPT
-A veth101i0-IN -p tcp -m tcp --dport 6697 -j ACCEPT
-A veth101i0-IN -p tcp -m tcp --dport 6667 -j ACCEPT
-A veth101i0-IN -p udp -m udp --dport 1194 -j ACCEPT
-A veth101i0-IN -p tcp -m tcp --dport 943 -j ACCEPT
-A veth101i0-IN -j GROUP-sshadmin-IN
-A veth101i0-IN -m mark --mark 0x80000000/0x80000000 -j ACCEPT
-A veth101i0-IN -j PVEFW-Drop
-A veth101i0-IN -j DROP
-A veth101i0-IN -m comment --comment "PVESIG:LWjLw3vqQpvzk3r07Ntp+CRVBxQ"
-A veth101i0-OUT -p udp -m udp --sport 546 --dport 547 -g PVEFW-SET-ACCEPT-MARK
-A veth101i0-OUT -m mac ! --mac-source 32:2F:FD:10:E5:78 -j DROP
-A veth101i0-OUT -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j DROP
-A veth101i0-OUT -j MARK --set-xmark 0x0/0x80000000
-A veth101i0-OUT -p ipv6-icmp -m icmp6 --icmpv6-type 133 -g PVEFW-SET-ACCEPT-MARK
-A veth101i0-OUT -p ipv6-icmp -m icmp6 --icmpv6-type 135 -g PVEFW-SET-ACCEPT-MARK
-A veth101i0-OUT -p ipv6-icmp -m icmp6 --icmpv6-type 136 -g PVEFW-SET-ACCEPT-MARK
-A veth101i0-OUT -j GROUP-sshadmin-OUT
-A veth101i0-OUT -m mark --mark 0x80000000/0x80000000 -j RETURN
-A veth101i0-OUT -g PVEFW-SET-ACCEPT-MARK
-A veth101i0-OUT -m comment --comment "PVESIG:pe568M9YVwN9IyL3LsTRw465t9w"
COMMIT
# Completed on Sun Apr 23 18:13:44 2017


Edit: Was ich auch merkwürdig finde: Sobald ich die Firewall für den Container deaktiviere klappt es - Sobald die Aktiv ist geht es nicht mehr.


Edit2: Ich kann nach X Zeit die IPv6 einmal aufrufen - Beim 2. mal geht es nicht mehr. fail2ban ist aber ausgeschaltet. Eine Idee?
 
Last edited:
Hallo @dietmar,

ich habe jetzt nochmal geschaut und konnte nichts finden. Ich habe Testweise auch mal verschiedene Rules hinzugefügt - Konnte es aber nicht zum laufen bringen: Außer wenn ich die Firewall komplett abschalte, dann geht es.

Ich habe jetzt im Anhang nochmal die ganzen Ausgaben in einer Textdatei - Könntest du noch ein letztes mal drauf schauen und mir sagen ob was fehlt und wenn ja, was?

Wenn ich weiss was fehlt oder was nicht stimmt bekomme ich das bestimmt selber hin zu beheben :)

Ich danke dir schonmal!

Liebe Grüße
 

Attachments

Hi,

leider nicht - Ich kann mit der IPv6 keine Verbindung zu dem Container aufbauen. Das funktioniert immer erst wenn ich die Firewall deaktiviere bzw. sage "Input Policy" => ACCEPT.

Ich hatte ja noch gedacht das eventuell meine Netzwerk Konfiguration falsch ist oder auf dem Container was nicht stimmt aber was mich verwirrt ist, wenn ich die Firewall deaktiviere geht das ganze ja.

Ist ja quasi wie verhext! :D
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom