Das Filtern von IPv6 ist eigentlich nicht so anders wie bei IPv4. Allerdings muss man bei ICMP ein bisschen umdenken. Unter Anderem ist Path MTU Discovery quasi “mandatory” und manche Dinge, die man früher einfach doof weggedroppt hat, muss man jetzt erlauben, sonst gehen nämlich unter Umständen auch mal Dinge nicht. Und man weiß nicht warum, bis man feststellt, dass das Logging aus ist. ...
Ich bau ja wenn ich irgendwo einen Router oder Firewall brauche entweder mit Debian und ferm/iptables oder in wenigen Fällen auch mit OpenBSD/pf. Das hat sich über die Jahrzehnte bewährt. ...
Firewall-Regeln für die Double-NAT Firewall aus dem Network Namespaces Post. ...
In einem aktuellen Projekt hatte ich eine kleine Herausforderung: Ich muss in zwei verschiedenen Netzen die gleichen IP-Adressen verwenden. Bisher habe ich da mit zwei kleinen Linux Iptables VMs gearbeitet, die beide NAT gemacht haben. ...
Ein Debian Linux System automatisch (“unattended”) aktuell zu halten, ist super einfach. Ich zeige Dir hier, wie das geht. Diese Anleitung bezieht sich auf die aktuelle Debian Version 11 (Bullseye) und Derivate. Systeme ohne grafische Benutzeroberfläche An einem System ohne grafische Benutzeroberfläche, zum Beispiel einem Server, einer VM oder einem (LXC) Container per SSH anmelden und das unattended-upgrades Paket installieren. Dies gilt im Übrigen auch für Raspberries mit Raspberry Pi OS....
Heute bauen wir einen hochverfügbaren Socks-Proxy. Dazu brauchen wir vier VMs: ...
Einen VRRP Cluster mit keepalived unter Linux einzurichten ist einfacher, wie man denkt, wenn man nur die Grundfunktionen (z.B. eine “hochverfügbare” IP-Adresse) braucht. ...
Die nächste Evolutionsstufe nach Copy-Paste und rsync basiert auf dem inotify Kernel Subsystem und heisst (bei mir) lsyncd. Das ist ein Programm, das Dateisystemänderungen überwacht und ereignisgesteuert Dinge tun kann. ...
Wer kennt das nicht: Da hast Du Deinen Pihole redundant laufen und dann musst Du die Blocklisten manuell synchronisieren. Unschön. ...