ICMPv6 spammed das Logfile



  • Hallo zusammen,

    ich habe im Moment sehr viele Einträge im Logfile mit Src: [fe80::1] DST:[ff02::1] Proto: ICMPv6. Nach meinem Verständnis ein Ping Broadcast, der an der FIrewall geblockt wird. Ärgerlicher Weise habe ich damit einen Eintrag alle paar Sekunden im Logfile und alle Versuche eine Regel einzutragen, die vorab blockt, ohne einen Eintrag zu erzeugen sind fehlgeschlagen. Die einzige Regel, die höher in der Table steht ist die Bogon Block Regel, die automatisch eingetragen wird. Und die sollte doch hier nicht zutreffen, oder?

    Kann mir jemand verraten, wie ich diese Drops aus dem Logfile bekomme?

    MfG
    Sradag



  • Setz' mal den Haken bei "Allow IPv6" unter "System: Advanced: Networking". Dann richte eine Floating-Rule mit quick-Option und ohne Logging ein, die den entsprechenden Traffic blockiert.



  • Hallo Flo,

    danke für den Tip. Das hat es tatsächlich abgestellt. Curioser Weise sogar ohne die Regel um die Pakete ohne Logfile Eintrag zu blocken. Die Pakete erscheinen einfach gar nicht mehr. Ich hatte mich schon gewundert, da mir beim Suchen aufgefallen ist, das am Kabel Modem kein IPv6 existiert, Die FW aber am externen If die Pakete blockt. Ausserdem hatte ich bis dato folgende Meldugn im Sys Log: "php: rc.filter_configure_sync: Could not find IPv6 gateway for interface(wan)." Die ist jetzt auch weg.

    Es hat also geklappt - jetzt wüsste ich nur noch gerne warum :D

    Gruß
    Sradag



  • Gerne: Wenn der Haken bei "Allow IPv6" nicht gesetzt ist, dann wird IPv6 bereits blockiert, bevor eine der Interface-bezogenen Firewall-Regeln greift, und das wird dann geloggt, dieses Logging kann man auch nirgends anders abstellen.

    Alternativ wäre es evtl. möglich, daß die Option "Allow IPv6" dazu führt, daß eine Firewall-Regel erzeugt wird. Bei der Anti-Lockout-Regel wird das genau so gemacht. Das wäre etwas einfacher verständlich. Aber wenn man weiß, wie man das Logging abstellt, dann hat die aktuelle Lösung auch keine Nachteile. :)

    Ich hatte mich schon gewundert, da mir beim Suchen aufgefallen ist, das am Kabel Modem kein IPv6 existiert, Die FW aber am externen If die Pakete blockt.

    Hattest Du die Pakete auf dem externen Interface? Ich hatte vermutet, daß das auf einem internen Interface auftritt. Wenn Du "Block private networks" aktiviert hast, dann könnten diese Pakete davon blockiert worden sein: Die fe80::1 ist eine Link-Local-Adresse, die nicht geroutet werden soll. Evtl. blockt pfSense das auch ohne die o.a. Option. Da bin ich nicht sicher, weil die Option nur IPv4-Beispiele zeigt. ff02::1 ist eine All-Nodes-Adresse, also ist das ganz richtig ein Broadcast (eigentlich Multicast).


  • Moderator

    Ich vermute auch eher, dass Freund sradag jetzt v6 aus- statt eingeschaltet hat, da die pfSense sonst überhaupt keinen IPv6 Traffic anzeigt.

    Dass das Modem kein v6 vermittelt ist dann nur die halbe Wahrheit, denn es scheinen zumindest lokale v6 Paketeerzeugt zu werden. Die Adressen FE80… sind alle link-local Adressen, in etwa (vage) vergleichbar mit den 169er Adressen die ein Client automatisch annimmt, wenn er keinen DHCP finden kann.

    Grüße



  • Also,

    ich habe mir jetzt nicht die Mühe gemacht, am externen If zu sniffen, aber das Modem hatte IPv6 ausgeschaltet, daher meine Annahme, das da auch keine v6 Pakete kommen. Das Einschalten von v6 hat es jedenfalls geschafft das Problem zu beheben.

    Nochmals Danke