Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    ICMPv6 spammed das Logfile

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 3 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Sradag
      last edited by

      Hallo zusammen,

      ich habe im Moment sehr viele Einträge im Logfile mit Src: [fe80::1] DST:[ff02::1] Proto: ICMPv6. Nach meinem Verständnis ein Ping Broadcast, der an der FIrewall geblockt wird. Ärgerlicher Weise habe ich damit einen Eintrag alle paar Sekunden im Logfile und alle Versuche eine Regel einzutragen, die vorab blockt, ohne einen Eintrag zu erzeugen sind fehlgeschlagen. Die einzige Regel, die höher in der Table steht ist die Bogon Block Regel, die automatisch eingetragen wird. Und die sollte doch hier nicht zutreffen, oder?

      Kann mir jemand verraten, wie ich diese Drops aus dem Logfile bekomme?

      MfG
      Sradag

      1 Reply Last reply Reply Quote 0
      • -flo- 0-
        -flo- 0
        last edited by

        Setz' mal den Haken bei "Allow IPv6" unter "System: Advanced: Networking". Dann richte eine Floating-Rule mit quick-Option und ohne Logging ein, die den entsprechenden Traffic blockiert.

        1 Reply Last reply Reply Quote 0
        • S
          Sradag
          last edited by

          Hallo Flo,

          danke für den Tip. Das hat es tatsächlich abgestellt. Curioser Weise sogar ohne die Regel um die Pakete ohne Logfile Eintrag zu blocken. Die Pakete erscheinen einfach gar nicht mehr. Ich hatte mich schon gewundert, da mir beim Suchen aufgefallen ist, das am Kabel Modem kein IPv6 existiert, Die FW aber am externen If die Pakete blockt. Ausserdem hatte ich bis dato folgende Meldugn im Sys Log: "php: rc.filter_configure_sync: Could not find IPv6 gateway for interface(wan)." Die ist jetzt auch weg.

          Es hat also geklappt - jetzt wüsste ich nur noch gerne warum :D

          Gruß
          Sradag

          1 Reply Last reply Reply Quote 0
          • -flo- 0-
            -flo- 0
            last edited by

            Gerne: Wenn der Haken bei "Allow IPv6" nicht gesetzt ist, dann wird IPv6 bereits blockiert, bevor eine der Interface-bezogenen Firewall-Regeln greift, und das wird dann geloggt, dieses Logging kann man auch nirgends anders abstellen.

            Alternativ wäre es evtl. möglich, daß die Option "Allow IPv6" dazu führt, daß eine Firewall-Regel erzeugt wird. Bei der Anti-Lockout-Regel wird das genau so gemacht. Das wäre etwas einfacher verständlich. Aber wenn man weiß, wie man das Logging abstellt, dann hat die aktuelle Lösung auch keine Nachteile. :)

            Ich hatte mich schon gewundert, da mir beim Suchen aufgefallen ist, das am Kabel Modem kein IPv6 existiert, Die FW aber am externen If die Pakete blockt.

            Hattest Du die Pakete auf dem externen Interface? Ich hatte vermutet, daß das auf einem internen Interface auftritt. Wenn Du "Block private networks" aktiviert hast, dann könnten diese Pakete davon blockiert worden sein: Die fe80::1 ist eine Link-Local-Adresse, die nicht geroutet werden soll. Evtl. blockt pfSense das auch ohne die o.a. Option. Da bin ich nicht sicher, weil die Option nur IPv4-Beispiele zeigt. ff02::1 ist eine All-Nodes-Adresse, also ist das ganz richtig ein Broadcast (eigentlich Multicast).

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Ich vermute auch eher, dass Freund sradag jetzt v6 aus- statt eingeschaltet hat, da die pfSense sonst überhaupt keinen IPv6 Traffic anzeigt.

              Dass das Modem kein v6 vermittelt ist dann nur die halbe Wahrheit, denn es scheinen zumindest lokale v6 Paketeerzeugt zu werden. Die Adressen FE80… sind alle link-local Adressen, in etwa (vage) vergleichbar mit den 169er Adressen die ein Client automatisch annimmt, wenn er keinen DHCP finden kann.

              Grüße

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • S
                Sradag
                last edited by

                Also,

                ich habe mir jetzt nicht die Mühe gemacht, am externen If zu sniffen, aber das Modem hatte IPv6 ausgeschaltet, daher meine Annahme, das da auch keine v6 Pakete kommen. Das Einschalten von v6 hat es jedenfalls geschafft das Problem zu beheben.

                Nochmals Danke

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.