Acesso via IPv6 Link-Local

De Wiki BPF
Revisão de 16h10min de 19 de maio de 2019 por Gondim (discussão | contribs) (Como usar o link-local pra acessar outro equipamento.)
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)
Ir para navegação Ir para pesquisar


Descrição do problema

As vezes passamos por situações que nos levam ao desespero. Um exemplo que se passou comigo hoje: estava atualizando um equipamento e ao mexer em suas regras de Firewall, acabei cometendo um erro clássico de desabilitar as regras mas deixando um drop all por padrão. Não preciso dizer que nesse momento minha conexão remota caiu, eu estava à uns 40Km de distância do equipamento e em pleno domingão chuvoso. Na hora paralisei e bateu aquele desespero pois haviam mais de 1000 assinantes conectados nesse B-RAS PPPoE. Já ia me arrumar para pegar a estrada quando pensei: Ora eu só errei nas regras de INPUT. Em sistemas que usam kernel Linux, costuma-se usar o Netfilter/IPTables e os filtros na chain INPUT só afetam pacotes direcionados com destino a caixa. Nesse caso o FORWARD estava OK e os clientes acessando normalmente. Agora sim posso com calma e sem desespero, pensar em uma forma de acessar a caixa remotamente. Mas como se havia um drop all na chain INPUT?

Luz no fim do túnel

Como nossos B-RAS são configurados com um certo padrão, entrei em outra caixa para verificar as regras e lembrei do nosso amado IPv6 e que também existe um Firewall independente do IPv4. Ao contrário de muitos, nós aqui colocamos regras em IPv6 também porque ataques e tentativas de acesso podem vir de qualquer lugar. Mas nas regras de INPUT do IPv6 eu libero icmpv6 e o link-local (fe80::/10).

Me senti no filme Vingadores onde o Dr. Estranho disse que haviam 14 milhões de finais dando errado e apenas 1 que resolveria meu problema.