Как отключить IPv6 ?

EternalTear

Ситуация следующая

2.1.3-RELEASE (i386)
built on Thu May 01 15:52:17 EDT 2014
FreeBSD 8.3-RELEASE-p16

В настройках IPv6 не включал:
System: Advanced: Networking
галочка с "Allow IPv6" снята…

На всех интерфейсах
IPv6 Configuration Type стоит "none"

Настроил фаервол у меня две локальные сети… два LAN интерфейса.... из одной запретил доступ в другую правилами.....

но как оказалось доступ есть.... по IPv4 все закрыто..... но если ввести имя компьютера из другой сети....то  определяется адес того компьютера вида fe80::d85f:8a6c:8bd0:d699%13 и вуаля... все мы видим без ограничений =(......

я уже в фаерволе и правила запрещающие все везде по протоколу IPv6 на всех интерфейсах добавил....

а доступ всеравно есть.... что за напасть такая?..... можно конечно поотключать IPv6 на всех компах но это же не выход.....

подскажите как побороть это нашествие IPv6

werter

Покажите скрины fw на LAN.

EternalTear

хм…. скрины-то вот такие

но все же.... можно как-то отключить вообще этот IPv6
то что правила не работали - это странно....

причем то пинговался IPv6 адрес и доступ был, то нет пинга и доступа по этому IPv6 адресу.... вообще безпредел какой-то....

DHCP раздает IPv6.. я же вроде бы везде, где можно, указал, что я не использую IPv6...

Сейчас все работает так как надо... у меня не стояли галочки "Register DHCP leases in DNS forwarder" и "Register DHCP static mappings in DNS forwarder"  ...в "Services: DNS forwarder"
и тогда при попытке пинговать определялся IPv6 адрес компьютера... причем я так и не понял почему и как.... ведь даже в Фаерволе на ВСЕХ интерфейсах я запретил (включая ОпенВПН и ИПСек)

сейчас я отметил те галочки.... и теперь по именам определяется IPv4..... и теперь доступа вроде бы нет по адресам IPv6 но они по прежнему пингуются  :o как так может быть?

правила На LAN0 - результат изысканий и экспериментов,  когда было одно правило "IPv4 * * * * * * none" .... (при этом почему-то пинг не работал нужно было отдельно добавить разрешение на протокол ICMP).......  тооо висело оочень много "FIN_WAIT_2:FIN_WAIT_2" до 10000!!!.... хотя все работало... только были странные лаги и подвисания RDP ну и сайтов... хотя и не так заметно...... и вообще с значением "any" чудеса происходят.... при явно заданном правиле откуда и куда все стало лучше....

werter

Отключите ipv6 на клиентах.

derwin

ipv6 на клиентах может работать поверх ipv4, в рамках туннеля.
Вы можете понаблюдать эту ситуацию дома, когда посмотрите список пиров в utorrent на популярной раздаче. Это нормально, и это не cовсем честный ipv6. Если нет прямой связи между компьютерами - туннель не поднимется.
Могу сделать предположение, что у вас пинг был изза особенностей pfSense - установившиеся соединения обрубаются СРАЗУ если только правило стоит в разделе floating и имеет галочку Quick.
Во всех остальных случаях обрубания соединения не будет.
Выглядит вот как:

1. Ставим разрешающее правило и пинг через -t
2. видим пинг, меняем pass на drop/deny
3. и продолжаем смотреть на идущий пинг…....
   Но если перезапустить пинг (создать другой states на pfsense) - пинга уже не будет!

dvserg

@derwin:

ipv6 на клиентах может работать поверх ipv4, в рамках туннеля.
Вы можете понаблюдать эту ситуацию дома, когда посмотрите список пиров в utorrent на популярной раздаче. Это нормально, и это не cовсем честный ipv6. Если нет прямой связи между компьютерами - туннель не поднимется.
Могу сделать предположение, что у вас пинг был изза особенностей pfSense - установившиеся соединения обрубаются СРАЗУ если только правило стоит в разделе floating и имеет галочку Quick.
Во всех остальных случаях обрубания соединения не будет.
Выглядит вот как:

1. Ставим разрешающее правило и пинг через -t
2. видим пинг, меняем pass на drop/deny
3. и продолжаем смотреть на идущий пинг…....
   Но если перезапустить пинг (создать другой states на pfsense) - пинга уже не будет!

В States для этого есть специальная кнопочка, Reset States называется.

EternalTear

@werter:

Отключите ipv6 на клиентах.

Да… но.... что мешает клиенту включить этот протокол? :)
к тому же это буквально огромная дыра.... любой кто подключится к сети и кому я не отключу IPv6 (ноутбук, телефон.... ) будет иметь полній доступ туда куда не нужно

А это печально

You cannot.  It is built into the kernel that we build.

не ну ведь как так?…. это ж совсем не нормально тут таже проблемма :)
а если сделать так?… то все сломаю?

Create / update your /etc/src.conf file with the following:

WITHOUT_INET6=yes
WITHOUT_INET6_SUPPORT=yes

Once done; do make buildworld

 make buildworld && make buildkernel && make installkernel

See handbook build world chapter and
[man]src.conf[/man]

неужели все так и работают… или ттут нужно включить везде IPv6 и настроить правила ... может тогда их будет обрабатывать фаерволл?

dvserg

@EternalTear:

@werter:

Отключите ipv6 на клиентах.

Да… но.... что мешает клиенту включить этот протокол? :)
к тому же это буквально огромная дыра.... любой кто подключится к сети и кому я не отключу IPv6 (ноутбук, телефон.... ) будет иметь полній доступ туда куда не нужно

А это печально

You cannot.  It is built into the kernel that we build.

не ну ведь как так?…. это ж совсем не нормально тут таже проблемма :)

А вы год поста смотрели?

EternalTear

А что-то изменилось?… или с версии 2.0.1 такая проблемма есть?

если ее уже решили то как
вариант "отключить у клиентов IPv6" - абсурд...

dvserg

https://forum.pfsense.org/index.php?topic=78407.0

Там 2 опции:
"System: Advanced: Networking / Allow IPv6: checked and IPv6 over IPv4 Tunneling: unchecked"

Обе нужно, думаю отключить. У Вас по видимому IPv6 over IPv4 Tunneling работает.

Плюс во Float rules сделайте первое правило с опцией QUICK на запрет всякого IPV6 (block IPV6 *****)

Не получится - рисуйте схему сети и выкладывайте скриншоты правил.

Upd:
И да, надеюсь интерфейсы LAN у Вас не сбриджены?

EternalTear

У Вас по видимому IPv6 over IPv4 Tunneling работает

…эээ... не-а..  System-Addvanced-Networking.png

И да, надеюсь интерфейсы LAN у Вас не сбриджены?

тоже нет…. но без запретов в фаерволе доступ между ними есть полный... кстати а зачем этот бриджинг?... ( я поначалу думал что две сети не будут видеть друг друга и бриджинг мне понадобится... но оказалось что все работает словно интерфейс один а не два :) ... немного удивило но потом наткнулся на это логика pfsense просто рай для атак с подменой IP выходит)

Плюс во Float rules сделайте первое правило с опцией QUICK на запрет всякого IPV6

сделал… опция QUICK это галочка "Apply the action immediately on match."?... сейчас потестирую...
но я так и не понял, что это за раздел Float
в чем специфика -тут правила с более высоким приоритетом?

и вот сделать бы так что бы DHCP сервер не раздавал IPv6

werter

но я так и не понял, что это за раздел Float
в чем специфика?

Т.н. "плавающие правила", к-ый применяются ранее правил на конкретных интерфейсах (LAN, WAN, OPT etc.)

https://doc.pfsense.org/index.php/What_are_Floating_Rules :

What are Floating Rules

Floating rules are advanced Firewall Rules which can apply in any direction to any (or multiple) interfaces. Some more advanced/low-level options are available on Floating Rules than exist for the normal per-interface rules.

Using Floating Rules you can control/restrict traffic from the firewall itself, you can have rules which apply to multiple interfaces in the same way, you can have traffic shaping rules which match traffic but do not affect it's pass/block action, and much more.

Many firewalls do not need any floating rules, or may only have them for the traffic shaper. For those choosing to use them, they can make some complex filtering scenarios easier, at the cost of being a little harder to follow logically in the GUI.

Floating rules are parsed before rules on other interfaces. Thus, if a packet matches a floating rule and the Quick option is active on that rule, pfsense will not attempt to filter that packet against any rule on any other interface.

Rules using the Queue action do not work with 'quick' checked.