Written by Und schon ist die schöne neue Welt auch wieder vorbei. Gestern war der World IPv6 Day. Das heißt, viele Firmen haben an diesem Tag neben den normalen A-Records auch AAAA-Records ausgeliefert. Was wiederum heißt, es könnte Leute auf dieser Welt geben die Damit Probleme hatten. In meinem Umfeld konnte ich aber keine Probleme diesbezüglich feststellen. Weder mit reinen IPv4 oder IPv6 Anbindungen als auch mit Dualstack-Anbindung.
Fazit für mich: Liebe Provider – We are ready for IPv6!
Posts in category IPv6
One Day After – World IPv6 Day
IPv6 mit Tücken
Das Problem zu finden war nicht ganz so einfach. Das hat gestern echt Zeit gekostet.
Ihr seht ja rechts die Twitterbox. Diese ging seit der Umstellung auf IPv6 nicht mehr. Genauso funktionierte die Plugin-Verwaltung im WordPress-Backend nicht. Die Frage war nur noch “Wieso?”.
Da habe ich gestern die PHP Einstellungen durchgewühlt und Testscripte geschrieben mit fsockopen. Aber alles half nichts. Dann probierte ich über die Shell ein
w3m http://wordpress.org
Aber da bekam ich nur ein 404 Fehler. Von mir zu Hause funktionierte alles sauber. Dann mal fix mit dig die DNS Einträge von wordpress.org geprüft. Resultat: Auch alles richtig. Das war der Zeitpunkt zu Kapitulieren?!
Ich habe danach mit telnet weiter getestet und siehe da:
telnet wordpress.org Trying 2a01:xyz:100:5442::q... Trying 72.233.56.138... Trying 72.233.56.139...
Wieso löst telnet wordpress.org mit einer IPv6-Adresse auf? Gleich mal ein strace drauf gemacht und siehe da… Er versucht wordpress.org.universe.linuxdelta.de aufzulösen und findet natürlich was weil bei mir im DNS *.universe.linuxdelta.de angelegt ist. Aber wieso versucht er wordpress.org.universe.linuxdelta.de aufzulösen? Der Fehler bzw. die Lösung liegt in /etc/resolv.conf. Hier steht die Zeile
search universe.linuxdelta.de
Das heißt nun entweder das “search” entfernen oder *.universe.linuxdelta.de aus dem DNS nehmen.
Dann klappt’s auch mit dem Nachbarn!
Jetzt auch mit IPv6
Die Seiten von lordlamer.de, linuxdelta.de und knowledgeroot.org sind jetzt auch über IPv6 erreichbar.
Die IPv6 Adressen habe ich schon seit einiger Zeit auf dem Server eingerichtet. Heute habe ich dann mal im DNS die AAAA Records für IPv6 hinterlegt.
Weiterhin gibt es in der rechten Spalte eine kleine Anzeige mit der IP Adresse von euch. Damit könnt ihr prüfen ob ihr per IPv4 oder IPv6 zugreift.
Bei Problemen mit dem Zugriff meldet euch einfach hier oder direkt per E-Mail.
Firewallregeln mit Ferm
Wer wie ich nicht gerne direkt iptables Regeln selber schreiben möchte sollte sich mal ferm angucken. Unter Debian lässt sich das Paket ganz einfach installieren mit:
aptitude install ferm
Und schon ist ferm installiert. Um ferm global zu aktivieren oder zu deaktivieren kann man den Schalter ENABLED in der Datei /etc/default/ferm auf YES oder NO setzen.
In meiner folgenden Konfiguration habe ich sowohl Regeln für IPv4 als auch IPv6. Eingehende Verbindungen über IPv4 oder IPv6 werden eingeschränkt. Bei den IPv4 Verbindungen habe ich auch ein Source- und Destination-Limit eingebaut.
Die Konfiguration befindet sich selber in der Datei /etc/ferm/ferm.conf. Und hier endlich eine Beispielkonfiguration:
table filter {
chain INPUT {
policy DROP;
# connection tracking
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
# allow local packages
interface lo ACCEPT;
# respond to ping
proto icmp icmp-type echo-request ACCEPT;
# allow IPsec
#proto udp dport 500 ACCEPT;
#proto (esp ah) ACCEPT;
# allow SSH connections on port 63333
proto tcp dport 63333 {
# source limit
mod connlimit connlimit-above 10 REJECT;
# destination limit
mod connlimit connlimit-above 20 connlimit-mask 0 REJECT;
ACCEPT;
}
# http
proto tcp dport (80 443) {
# source limit
mod connlimit connlimit-above 50 REJECT;
# destination limit
mod connlimit connlimit-above 250 connlimit-mask 0 REJECT;
ACCEPT;
}
# ftp
proto tcp dport ftp {
# source limit
mod connlimit connlimit-above 5 REJECT;
# destination limit
mod connlimit connlimit-above 50 connlimit-mask 0 REJECT;
ACCEPT;
}
# smtp
proto tcp dport (25 465) {
# source limit
mod connlimit connlimit-above 20 REJECT;
# destination limit
mod connlimit connlimit-above 50 connlimit-mask 0 REJECT;
ACCEPT;
}
# pop3
proto tcp dport (110 995) {
# source limit
mod connlimit connlimit-above 20 REJECT;
# destination limit
mod connlimit connlimit-above 250 connlimit-mask 0 REJECT;
ACCEPT;
}
# imap
proto tcp dport (143 993) {
# source limit
mod connlimit connlimit-above 20 REJECT;
# destination limit
mod connlimit connlimit-above 250 connlimit-mask 0 REJECT;
ACCEPT;
}
# sieve
proto tcp dport 2000 {
# source limit
mod connlimit connlimit-above 5 REJECT;
# destination limit
mod connlimit connlimit-above 50 connlimit-mask 0 REJECT;
ACCEPT;
}
}
chain OUTPUT {
policy ACCEPT;
# connection tracking
#mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}
chain FORWARD {
policy DROP;
# connection tracking
mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
}
}
# IPv6:
domain ip6 table filter {
chain INPUT {
policy DROP;
# connection tracking
#mod state state INVALID DROP;
mod state state (ESTABLISHED RELATED) ACCEPT;
# allow local connections
interface lo ACCEPT;
# allow ICMP (for neighbor solicitation, like ARP for IPv4)
proto ipv6-icmp ACCEPT;
# allow SSH connections on port 63333
proto tcp dport 63333 ACCEPT;
# http
proto tcp dport (80 443) ACCEPT;
# ftp
proto tcp dport ftp ACCEPT;
# smtp
proto tcp dport (25 465) ACCEPT;
# pop3
proto tcp dport (110 995) ACCEPT;
# imap
proto tcp dport (143 993) ACCEPT;
# sieve
proto tcp dport 2000 ACCEPT;
}
# outgoing connections are not limited
chain OUTPUT policy ACCEPT;
# this is not a router
chain FORWARD policy DROP;
}
Bei Fragen oder Anmerkungen meldet euch doch einfach.
Voll Durchstarten mit IPv6 in 2011
Nachdem wir jetzt schon eine ganze Weile mit unserem internen Netzwerk IPv6 fahren soll es jetzt auch den Servern im Rechenzentrum an den Kragen gehen. Demnächst soll die Zuschaltung der IPv6 Adressen erfolgen. Danach kann ich dann anfangen die IPv6 Adressen an die Server zu verteilen und die AAAA-Records im DNS anzulegen.
Intern laufen wir über den Tunnelbroker Sixxs. Dies wird sich wohl auch kurzfristig leider nicht ändern. Eigentlich schade. Liebe Provider, viele Leute warten darauf!
Ich halte euch über aktuelle Entwicklungen auf dem laufenden!