Tôi cũng cần phải thiết lập một quy tắc iptables khác cho ipv6 nếu tôi chỉ sử dụng iptables?


21

Giả sử tôi có thiết lập tường lửa trên máy chủ linux của mình với iptables để tôi chỉ chấp nhận lưu lượng truy cập cổng 22 và cổng 80 và tôi chặn quyền truy cập vào tất cả các cổng khác.

Các quy tắc này chỉ hoạt động nếu máy khách đang sử dụng địa chỉ IPv4? Vậy nếu một địa chỉ ipv6 được sử dụng, máy khách có thể truy cập các cổng mà tôi không muốn chúng không? (tức là các cổng khác ngoài cổng 22 và cổng 80)


Bạn chưa đánh dấu bất kỳ câu trả lời nào là hữu ích. Bạn nên làm điều đó. ;-)
Anders

Câu trả lời:


21

iptableshoạt động cho IPv4, nhưng không phải IPv6. ip6tableslà tường lửa IPv6 tương đương và được cài đặt với iptables.

Cuối cùng, mặc dù, iptablesdành cho kết nối IPv4, ip6tablesdành cho kết nối IPv6. Nếu bạn muốn các iptablesquy tắc của mình cũng áp dụng cho IPv6, bạn cũng phải thêm chúng vào ip6tables.


Nếu bạn cố gắng và sao chép bộ iptablesquy tắc của mình vào ip6tables, không phải tất cả các quy tắc iptablescó thể làm sẽ chuyển sang gọn gàng ip6tables, nhưng hầu hết trong số chúng sẽ.

Tham khảo trang hướng dẫnip6tables nếu bạn muốn đảm bảo các lệnh mà bạn sử dụng iptablessẽ được chuyển gọn gàng.


Nếu bạn muốn, chúng tôi có thể giúp bạn tạo ip6tablescác iptablesquy tắc tương đương để phù hợp với quy tắc của bạn , nếu bạn cung cấp danh sách quy tắc tường lửa của mình (xóa bất kỳ thông tin nào có thể xác định hệ thống lạm dụng). Nếu không, chúng tôi chỉ có thể trả lời câu hỏi chung của bạn.


10
Đây không phải là loại vô lý sau đó? Để làm rõ, vì vậy ngay bây giờ tất cả các cổng của tôi trên máy chủ đều mở rộng cho bất kỳ ai kết nối với địa chỉ IPv6?
user230779

3
@ user230779 Tôi đồng ý rằng nó "vô lý" nhưng đây là lý do tại sao ufwvà các trình quản lý tường lửa khác tồn tại, họ tự thêm các quy tắc cho cả hai. Tuy nhiên, vấn đề hiện tại ở đây không phải là "Mọi người có IPv6 có thể xem trang web của tôi không?" vấn đề lớn hơn là hệ thống của bạn có địa chỉ IPv6 hay không. Hầu hết các kết nối có IPv4 và IPv6 từ các máy khách như của tôi. Nhưng nếu máy chủ từ xa không có IPv6 mà công chúng phải đối mặt, thì IPv4 được kết nối. Tuy nhiên, theo tôi hiểu, nếu bạn có IPv6, bạn cũng nên thêm các quy tắc ip6tables.
Thomas Ward

1
@ user230779 Tôi có thể tạo một tập lệnh thực thi cùng một lệnh cho iptablesAND ip6tablesvà các quy tắc chung như -p tcp --dportvẫn sẽ hoạt động, nhưng các quy tắc phức tạp hơn có thể không ... (như -j REJECT --reject-with [something])
Thomas Ward

Thomas bạn có thể liên kết tôi với một ví dụ ip6tables an toàn cho một máy chủ web apache không?
user230779

1
@Braiam không bao giờ nói bất cứ điều gì về những lá cờ. Một số lệnh sẽ không hoạt động ( -j REJECT --reject-with icmp-host-prohibitedví dụ: vì gói từ chối là một tên khác trong IPv6)
Thomas Ward

3

Như những người khác đã nói với bạn, có các bảng tường lửa khác nhau cho IPv4 và IPv6. Bạn có thể thiết lập các quy tắc cho IPv6 như đối với IPv4, nhưng có một rủi ro lớn bạn sẽ làm rối tung nó nếu bạn không biết IPv6. Giống như, bạn không thể bỏ ICMPIPv6, vì có những phần bắt tay thiết yếu ở đó. Giống như nói với người gửi rằng các khung hình lớn, v.v. Nếu không có những thứ đó, IPv6 có thể ngừng hoạt động đối với một số người dùng.

Vì vậy, nó sẽ khuyến nghị mạnh mẽ việc sử dụng ufwhoặc gói shorewall6cùng với shorewall. Các iptableslối vào ufwhỗ trợ cả IPv4 và IPv6 và hoạt động tốt trên các máy chủ với một hoặc hai giao diện nhưng không thực hiện giao thông tuyến đường (làm việc như một router hoặc gateway). Nếu bạn định tuyến lưu lượng truy cập, bạn cần một cái gì đó tốt hơn, như shorewallhoặc thêm thủ công một số quy tắc để chuyển tiếp với iptablesip6tables.

Đừng quên rằng bạn có thể có nhiều hơn một địa chỉ IPv6 trên các giao diện của mình. Một số chỉ liên kết cục bộ, một số là tĩnh và động trên toàn cầu. Vì vậy, bạn nên thiết lập các quy tắc phù hợp và các máy chủ chỉ lắng nghe đúng địa chỉ.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.