Должен ли я также настроить другие правила iptables для ipv6, если я просто использовал iptables?

16

Скажем, у меня есть настройка брандмауэра на моем Linux-сервере с iptables, поэтому я принимаю только порт 22 и порт 80, и я блокирую доступ ко всем другим портам.

Действуют ли эти правила только в том случае, если клиентская машина использует адрес IPv4? Итак, если используется ipv6-адрес, клиент может получить доступ к портам, в которых я их не хочу? (то есть порты, отличные от порта 22 и порта 80)

    
задан user230779 01.01.2014 в 21:05
источник

2 ответа

17

iptables работает для IPv4, но не IPv6. ip6tables является эквивалентным брандмауэром IPv6 и устанавливается с iptables .

В конечном счете, iptables для соединений IPv4, ip6tables для соединений IPv6. Если вы хотите, чтобы ваши правила iptables также применялись к IPv6, вы также должны добавить их в ip6tables .

Если вы попытаетесь реплицировать свой набор правил iptables в ip6tables , не все правила, которые может выполнить iptables , будут аккуратно переходить на ip6tables , но большинство из них будет.

Обратитесь к manpage для ip6tables , если вы хотите сделать убедитесь, что команды, которые вы используете в вашем iptables , будут аккуратно переноситься.

Если вы хотите, мы можем помочь вам создать эквивалентные команды ip6tables для соответствия вашим правилам iptables , если вы предоставите список правил брандмауэра (удалив любую информацию, которая могла бы идентифицировать систему coruse). В противном случае мы можем ответить только на ваш общий вопрос.

    
ответ дан Thomas Ward 01.01.2014 в 21:10
2

Как уже говорили вам другие, для IPv4 и IPv6 существуют разные таблицы брандмауэра. Вы можете настроить правила для IPv6, как для IPv4, но есть большой риск, что вы его испортите, если не знаете IPv6. Например, вы не можете отказаться от ICMP для IPv6, так как там есть важные части рукопожатия. Как сказать отправителю, что кадры будут большими, и т. Д. Без этих вещей IPv6 может перестать работать для некоторых пользователей.

Поэтому настоятельно рекомендуется использовать ufw или пакет shorewall6 вместе с shorewall . Интерфейс iptables ufw поддерживает как IPv4, так и IPv6 и отлично работает на серверах с одним или двумя интерфейсами, но не маршрутизирует трафик (работает как маршрутизатор или шлюз). Если вы трафик трафик, вам нужно что-то лучше, например shorewall или вручную добавить некоторые правила для пересылки с iptables и ip6tables .

Не забывайте, что на ваших интерфейсах может быть несколько адресов IPv6. Некоторые из них являются только локальными, некоторые из них глобально статичны и динамичны. Поэтому вы должны соответствующим образом настроить правила, и серверы будут прослушивать только нужные адреса.

    
ответ дан Anders 02.01.2014 в 02:28