<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><p data-start="134" data-end="137" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">Hi,</p><p data-start="139" data-end="293" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">I\u2019m running a single-node NGCP system on&nbsp;<strong data-start="180" data-end="194">mr13.2.1.3</strong>&nbsp;with both IPv4 and IPv6 enabled (A and AAAA records), using the&nbsp;ngcp&nbsp;<span data-start="259" data-end="292">built-in firewall integration</span>.</p><p data-start="295" data-end="371" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">I\u2019m applying patchtt templates to&nbsp;<code data-start="334" data-end="348"><font face="Helvetica">rules.v4.tt2</font></code>&nbsp;and&nbsp;<code data-start="353" data-end="367"><font face="Helvetica">rules.v6.tt2</font></code>&nbsp;to:</p><p data-start="295" data-end="371" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">- Close Admin Portal / Customer Portal / LDAP, and XMPP.</p><p data-start="295" data-end="371" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">- SIP and RTP remain open</p><p data-start="295" data-end="371" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">- SSH remains restricted to IPs listed on the corresponding config.yml variable.</p><p data-start="295" data-end="371" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">- ICMP and all else remains as-is.</p><p data-start="295" data-end="371" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">SIP/RTP over IPv4 and IPv6 works and rtpengine seems fine (daemon is running,&nbsp;<code data-start="625" data-end="639">xt_RTPENGINE</code>&nbsp;is loaded, SDP shows&nbsp;<code data-start="661" data-end="676">a=oldmediaip:</code>&nbsp;and the&nbsp;<code data-start="685" data-end="696">rtpengine</code>&nbsp;chains\u2019 counters increase).</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">However, when I dump the rules via iptables/nft, I see this on IPv6:</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">table ip6 filter {</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; chain INPUT {</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; &nbsp; &nbsp; type filter hook input priority filter; policy drop;</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; &nbsp; &nbsp; ip6 nexthdr udp jump rtpengine</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; &nbsp; &nbsp; iifname "lo" accept</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; &nbsp; &nbsp; ct state related,established accept</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; &nbsp; &nbsp; meta l4proto ipv6-icmp accept</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; &nbsp; &nbsp; ...</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; &nbsp; &nbsp; iifname "eth0" udp dport 5060 accept</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; &nbsp; &nbsp; iifname "eth0" tcp dport 5060 accept</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; &nbsp; &nbsp; iifname "eth0" tcp dport 5061 accept</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">:XT target RTPENGINE not found</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; &nbsp; &nbsp; iifname "eth0" udp dport 30000-44999 accept</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; &nbsp; &nbsp; ...</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; }</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);"><br></p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; chain rtpengine {</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; &nbsp; &nbsp; counter packets X bytes Y</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp; &nbsp; }</p><p data-start="726" data-end="794" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">}</p><div><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">A</span><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">nd running&nbsp;</span><code data-start="1380" data-end="1395" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);"><font face="Helvetica">iptables-save</font></code><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">&nbsp;fails with:</span></div><div><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);"><br></span></div><div><div>Error: target extension not found</div><div>iptables-save (nf_tables): Parsing nftables rule failed</div><div>Perhaps iptables-save or your kernel needs to be upgraded.</div></div><div><br></div><div><p data-start="1571" data-end="1584" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">My questions:</p><ol data-start="1586" data-end="2057" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);"><li data-start="1586" data-end="1813"><p data-start="1589" data-end="1813">Is the&nbsp;\u201c:XT target RTPENGINE not found\u201d line in the ip6<font face="Helvetica">&nbsp;</font>table expected/harmless when using the NGCP firewall + rtpengine on mr13.2.1.3, or does it indicate a partially translated RTPENGINE rule that should be fixed?</p></li><li data-start="1815" data-end="2057"><p data-start="1818" data-end="2057">Are there any known caveats or recommended adjustments for rtpengine + the integrated firewall (especially on IPv6) when applying minimal hardening patches like this that only touch web/API/XMPP/admin rules, but leave SIP/RTP rules intact?</p></li></ol><p data-start="2059" data-end="2222" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">If needed I can provide the&nbsp;<font face="Helvetica"><code data-start="2093" data-end="2115"><font face="Helvetica">rules.v4.patchtt.tt2</font></code>&nbsp;/&nbsp;<code data-start="2118" data-end="2140"><font face="Helvetica">rules.v6.patchtt.tt2</font></code></font>&nbsp;diffs, but I wanted to check first if this behavior is already known or expected.</p><p data-start="2224" data-end="2239" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">Thanks,<br data-start="2231" data-end="2234">Cesar</p></div></body></html>