[ipv6][pf] stateless configuration

[Гость]

Какие типы icmp надо пропускать, чтобы сие работало? Сейчас стоит

Код: Выделить всё

pass in on $iface inet6 proto icmp6 icmp6-type routeradv

и rtsol(8) получает IP6, но пинг ipv6.google.com не проходит. Парой строчек выше стоит

Код: Выделить всё

block log
pass out modulate state

Чтобы пинг проходил приходится пропускать все ICMP-пакеты вовнутрь. Иначе на pflog0 вываливается

Код: Выделить всё

005881 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) 2002:5e18:8a7b:7b65:: > 2002:5e18:8a7b:7b65:d438:cdb3:f6b9:25b3: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::201:2ff:fe77:717f, Flags [router, solicited, override]
          destination link-address option (2), length 8 (1): 00:01:02:77:71:7f
            0x0000:  0001 0277 717f

А вот дамп успешного пинга на xl0

Код: Выделить всё

000000 IP (tos 0x0, ttl 64, id 23300, offset 0, flags [none], proto UDP (17), length 61) myhost.11931 > myrouter.domain: [udp sum ok] 24833+ AAAA? ipv6.google.com. (33)
001067 IP (tos 0x0, ttl 64, id 45773, offset 0, flags [none], proto UDP (17), length 120) myrouter.domain > myhost.11931: [udp sum ok] 24833 q: AAAA? ipv6.google.com. 2/0/0 ipv6.google.com. CNAME ipv6.l.google.com., ipv6.l.google.com. AAAA 2001:4860:0:1001::68 (92)
000270 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) 2002:5e18:8a7b:7b65:d438:cdb3:f6b9:25b3 > ff02::1:ff77:717f: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::201:2ff:fe77:717f
          source link-address option (1), length 8 (1): 00:04:76:91:17:39
            0x0000:  0004 7691 1739
000391 IP6 (hlim 255, next-header ICMPv6 (58) payload length: 32) 2002:5e18:8a7b:7b65:: > 2002:5e18:8a7b:7b65:d438:cdb3:f6b9:25b3: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is fe80::201:2ff:fe77:717f, Flags [router, solicited, override]
          destination link-address option (2), length 8 (1): 00:01:02:77:71:7f
            0x0000:  0001 0277 717f
000025 IP6 (hlim 64, next-header ICMPv6 (58) payload length: 16) 2002:5e18:8a7b:7b65:d438:cdb3:f6b9:25b3 > 2001:4860:0:1001::68: [icmp6 sum ok] ICMP6, echo request, length 16, seq 0
103038 IP6 (hlim 57, next-header ICMPv6 (58) payload length: 16) 2001:4860:0:1001::68 > 2002:5e18:8a7b:7b65:d438:cdb3:f6b9:25b3: [icmp6 sum ok] ICMP6, echo reply, length 16, seq 0
023726 IP (tos 0x0, ttl 64, id 15758, offset 0, flags [none], proto UDP (17), length 118) myhost.16390 > myrouter.domain: [udp sum ok] 30002+ PTR? 8.6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.1.0.0.0.0.0.6.8.4.1.0.0.2.ip6.arpa. (90)
213357 IP (tos 0x0, ttl 64, id 7307, offset 0, flags [none], proto UDP (17), length 178) myrouter.domain > myhost.16390: [udp sum ok] 30002 NXDomain q: PTR? 8.6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.1.0.0.0.0.0.6.8.4.1.0.0.2.ip6.arpa. 0/1/0 ns: 0.6.8.4.1.0.0.2.ip6.arpa. SOA ns1.google.com. dns-admin.google.com. 2006113000 21600 3600 1209600 10800 (150)
000178 IP (tos 0x0, ttl 64, id 52038, offset 0, flags [none], proto UDP (17), length 118) myhost.12262 > myrouter.domain: [udp sum ok] 30003+ PTR? f.7.1.7.7.7.f.f.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.f.f.ip6.arpa. (90)
000930 IP (tos 0x0, ttl 64, id 5504, offset 0, flags [none], proto UDP (17), length 118) myrouter.domain > myhost.12262: [udp sum ok] 30003 NXDomain q: PTR? f.7.1.7.7.7.f.f.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.2.0.f.f.ip6.arpa. 0/0/0 (90)
000182 IP (tos 0x0, ttl 64, id 42361, offset 0, flags [none], proto UDP (17), length 118) myhost.17008 > myrouter.domain: [udp sum ok] 30004+ PTR? 3.b.5.2.9.b.6.f.3.b.c.c.8.3.4.d.5.6.b.7.b.7.a.8.8.1.f.5.2.0.0.2.ip6.arpa. (90)
000788 IP (tos 0x0, ttl 64, id 46979, offset 0, flags [none], proto UDP (17), length 118) myrouter.domain > myhost.17008: [udp sum ok] 30004 NXDomain q: PTR? 3.b.5.2.9.b.6.f.3.b.c.c.8.3.4.d.5.6.b.7.b.7.a.8.8.1.f.5.2.0.0.2.ip6.arpa. 0/0/0 (90)
000225 IP (tos 0x0, ttl 64, id 8408, offset 0, flags [none], proto UDP (17), length 118) myhost.29203 > myrouter.domain: [udp sum ok] 30005+ PTR? 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.5.6.b.7.b.7.a.8.8.1.f.5.2.0.0.2.ip6.arpa. (90)
000788 IP (tos 0x0, ttl 64, id 59824, offset 0, flags [none], proto UDP (17), length 118) myrouter.domain > myhost.29203: [udp sum ok] 30005 NXDomain q: PTR? 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.5.6.b.7.b.7.a.8.8.1.f.5.2.0.0.2.ip6.arpa. 0/0/0 (90)
659422 IP6 (hlim 64, next-header ICMPv6 (58) payload length: 16) 2002:5e18:8a7b:7b65:d438:cdb3:f6b9:25b3 > 2001:4860:0:1001::68: [icmp6 sum ok] ICMP6, echo request, length 16, seq 1
102285 IP6 (hlim 57, next-header ICMPv6 (58) payload length: 16) 2001:4860:0:1001::68 > 2002:5e18:8a7b:7b65:d438:cdb3:f6b9:25b3: [icmp6 sum ok] ICMP6, echo reply, length 16, seq 1

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

а, все, нашел! В википедии нашел, что они описаны в rfc2461. Попробовал циферки, сделал pfctl -sr и получил такой маппинг:

• 133 - routersol
• 134 - routeradv
• 135 - neighbrsol
• 136 - neighbradv
• 137 - redir

(может кто-нить обновит icmp(4)?)

запихнул в pf.conf

Код: Выделить всё

pass in on $iface inet6 proto icmp6 icmp6-type { routeradv neighbradv redir }

и наслаждаюсь