LoginSignup
1
1

More than 1 year has passed since last update.

続:Apple TVから流れてくる変なRAをRaspberry PI + FreeBSDで何とかする話

Posted at

その後の状況

以前こんな記事を書きました。

${fwcmd} add 690 deny ipv6-icmp from fe80::18d1:c949:e9b5:98e0 to any icmp6type 134

こんな感じで、ルールを記載していましたが、このAppleTVのリンクローカルアドレスは再起動する毎に変わるということが分かったので、ルーター側のリンクローカルアドレス(仮にfe80::aaaa:bbbb:cccc:ddddと表記しています)を使うことにして以下の様なコードに変えてしばらく運用していました。

${fwcmd} add 610 allow ipv6-icmp from fe80::aaaa:bbbb:cccc:dddd to any icmp6type 134
${fwcmd} add 620 deny ipv6-icmp from fe80::/10 to any icmp6type 134

→ ルータからのRAは通すが、それ以外からのRAは通さない。

しかし、最近RasPIのOSを13.2-RELEASEにアップデートして再起動して見たところ、deny ipv6-icmp from fe80::/10 to any icmp6types 134のルールに全くパケットが引っかからなくなっていました。

# ipfw -a list
00100     262      24842 allow ip from any to any via lo0
00200       0          0 deny ip from any to 127.0.0.0/8
00300       0          0 deny ip from 127.0.0.0/8 to any
00400       0          0 deny ip from any to ::1
00500       0          0 deny ip from ::1 to any
00600    6384     465960 allow ipv6-icmp from :: to ff02::/16
00610   20418    2123472 allow ipv6-icmp from fe80::aaaa:bbbb:cccc:dddd to any icmp6types 134
00620       0          0 deny ipv6-icmp from fe80::/10 to any icmp6types 134
00700      89       6168 allow ipv6-icmp from fe80::/10 to fe80::/10
00800  344168   29975368 allow ipv6-icmp from fe80::/10 to ff02::/16
00900       0          0 allow ipv6-icmp from any to any icmp6types 1
01000    6541     470216 allow ipv6-icmp from any to any icmp6types 2,135,136
65000 7383007 1699174752 allow ip from any to any
65535       0          0 deny ip from any to any

はて?
tvOSも以前この問題を見つけたときには16.1位でしたが、今は16.4になっています。どこかのアップデートで改善されたのかもしれません。
しかし、tvOSのリリースノートには特に記載がありませんでした。
うーむ、直ったんですかねぇ...

半信半疑ですが、このRasPIのパケットフィルターは役割を終えたのかもしれません。
RasPIの新しい使い道考えなきゃ。

1
1
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
1