@mpetracek Odeslano.
Jo, to jsem dneska zjistil. Bez nej to jaksi nefirewalluje (je to plne otevreny). Tedy pokud neni jeste jiny podstatny duvod, i kdyz tenhle mi prijde dost podstatny :-).
Jojo, bohužel je to tak, bez toho se nezpracovávají další pravidla.
Když tam to pravidlo není, vleze to přes NFQUEUE do Suricaty a NFQUEUE bohužel nemá neterminující ACCEPT - jediné co s tím Suricata může udělat je NF_ACCEPT a zase obejde ty ostatní pravidla (ukončí procházení iptables chainu)… Proto se to musí obcházet přes NF_REPEAT a nastavení marku.
Za výpis díky, podívám se na to a snad najdu příčinu.
Podle @BuloZB to vypadá že je to problém zase jen v některých případech, nevím zatím proč.
Do 3.9.5 jsme přidali workaround na problémy s IPv6, který jsem vyzkoušeli ve spolupráci s @kmarty - díky za spolupráci.
Dejte prosím vědět, jestli vám po aktualizaci IPv6 funguje.
Eee, ne 
Kdyz jsme si psali, tak jsem to bral jen jako nahodny preklep (koho taky napadlo to oznacovat jinak u ctyrky a jinak u sestky). Ale v realu to je rozdil:
--- suricata.orig 2018-02-07 12:33:30.399114849 +0100
+++ suricata 2018-02-07 12:35:26.863162838 +0100
@@ -20,7 +20,7 @@
IFACES=$(uci -q get suricata.suricata.interface) || { echo >&2 "Interfaces not set in configuration (configuration file might be missing)."; exit 1; }
echo "-I suricata -m connmark --mark 1/1 -j RETURN" >> $IPTABLES_RULES
echo "-I suricata -m connmark --mark 1/1 -j RETURN" >> $IP6TABLES_RULES
- echo "-I suricata -p icmp -j RETURN" >> $IP6TABLES_RULES #workaround: ignore ICMPv6
+ echo "-I suricata -p icmpv6 -j RETURN" >> $IP6TABLES_RULES #workaround: ignore ICMPv6
echo "-A suricata -m mark --mark 1/1 -j CONNMARK --set-mark 1/1" >> $IPTABLES_RULES
echo "-A suricata -m mark --mark 1/1 -j CONNMARK --set-mark 1/1" >> $IP6TABLES_RULES
echo "-A suricata -m mark --mark 2/2 -j RETURN" >> $IPTABLES_RULES
1 Like
Ach jo.
No, tak opravený workaround 
bude v dalším vydání, kdo chce ověřit teď, tak změňte /etc/init.d/suricata tímhle způsobem:
+ echo "-I suricata -p icmpv6 -j RETURN" >> $IP6TABLES_RULES #workaround: ignore ICMPv6
- echo "-I suricata -p icmp -j RETURN" >> $IP6TABLES_RULES #workaround: ignore ICMPv6
Omlouvám se, považoval jsem to za tak triviální změnu že jsem jí pořádně nezkontroloval…
2 Likes
V právě vydané verzi Turris OS 3.9.6 by měla být oprava workaroundu.
Prosím o zpětnou vazbu, zda Vám nyní IPv6 funguje, tak jak má.
Za mne dobry.
(lorem ipsum)
1 Like
Jo, mně už IPv6 chodila po úpravě FW pravidla viz. výše také dobře. Od včerejška mám ale zase opětovně pakoně a suricatu odinstalované kvůli omezování rychlosti … viz jiné vlákno.
Chyba s přidělováním IPv6 byla opravena ve verzi Turris OS 3.9.6. Dle feedbacku zavírám.
Stále se mi nedaří reprodukovat chybu s rychlostí, jak je uvedeno ve vlákně: Omezovani rychlosti internetu . Vývojáře jsem upozornil na možnou chybu a podíváme se, kde by mohl být problém.