Bloqueie o tráfego IPv6 usando iptables no Linux usando informações da Camada 2

Question

Bloqueie o tráfego IPv6 usando iptables no Linux usando informações da Camada 2

#1 resposta do (3 votos)
#2 resposta do (0 votos)

3

Eu configurei uma rede isolada simples consistindo em seguir máquinas baseadas em Linux: Nó1 < ---- > Roteador < ---- > Nó2

A eth0 do roteador está conectada com a eth0 do Node1. A eth1 do roteador está conectada com a eth0 do Node2.

Todos os três sistemas são configurados com endereço IPv6 e eu posso efetuar ping uns aos outros com sucesso. Estou executando o iptables / ip6tables no roteador e quero bloquear todo o tráfego IPv6 proveniente do nó2 indo em direção ao nó1 (via roteador)

Como sabemos, todo o tráfego IPv6 tem a assinatura 0x84dd do Tipo de Pacote Ethernet e eu quero bloquear o tráfego usando ip6tables usando apenas esta assinatura específica. Depois de ler a página man do ip6tables e pesquisar na internet, não consegui encontrar uma opção adequada (como o tipo ether) para bloquear o tráfego.

Posso fazer isso via ip6tables?

EDIT: Eu estou procurando especificamente uma maneira de usar dados da camada 2 (0x86dd) para bloquear o tráfego. Basicamente, a questão se resume a se o iptables / ip6tables funciona na camada 2 ou não?

firewall linux

por modest 16.10.2012 / 08:36

2 respostas

Tags firewall linux

menu “Adicionar recursos ao Windows 8” ausente Painel de controle do Windows 8 Boot Camp no MacBook Air

score 3 · Answer 1

ip6tables -I FORWARD -o eth0 -j REJECT

Isso rejeitará todo o tráfego IPv6 não originado no roteador e saindo da eth0. Você pode querer incluir um -i eth1 para especificar a interface de entrada também. Além disso, você também pode gostar

ip6tables -I FORWARD -d ${IP(Node1)} -j REJECT

que irá bloquear todo o tráfego enviado para o endereço IP do Nó1 não originado no roteador ou talvez

ip6tables -I FORWARD -s ${IP(Node2)} -d ${IP(Node1)} -j REJECT

que bloqueará todo o tráfego do Nó2 para o Nó1, com base em seus respectivos endereços IP.

Observe que os dois últimos só funcionam se o Nó1 e / ou o Nó2 tiverem endereços IP fixos. Sinta-se à vontade para substituir REJECT por DROP , mas REJECT geralmente é a maneira mais agradável de fazer as coisas (especialmente em um ambiente "amigável").

score 0 · Answer 2

Eu sei que isso é velho, mas acontece que eu estou olhando para algo similar. Uma opção aqui é usar ebtables em uma ponte com a opção -p ip6. Eu consegui fazer isso funcionar 'totalmente', mas não consegui fazer exceções para certas coisas (ainda).