São requeridas regras especiais para ip6tables?

3

Depois de configurar minhas regras com o iptables e verificar se tudo funciona, também configurei as mesmas regras para os endereços IPv6 e notei que não posso me conectar a nenhum endereço e porta IPv6 do meu servidor. A política padrão é DROP , exceto as portas permitidas manualmente.

As regras parecem:

-P INPUT DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
...

Para ser honesto, executei esses comandos com iptables e ip6tables e, embora tudo funcione bem com o IPv4, não consigo me conectar via IPv6 de fora.

Eu devo permitir coisas adicionais para o IPv6 que o IPv4 não requer?

    
por smares 30.07.2017 / 22:52

1 resposta

6

O IPv4 usou um protocolo separado para encontrar o endereço MAC pertencente a um endereço IPv4: ARP. Por ser um protocolo separado, o iptables não o afeta.

O IPv6 integrou essa funcionalidade e não precisa / usa o ARP. A função é implementada usando mensagens ICMPv6. A diferença é que o ICMPv6 é afetado pelo ip6tables. Se você não permitir as mensagens ICMPv6 corretas, estará efetivamente bloqueando a utilização da rede. Você não poderá encontrar outros sistemas na sua LAN (como o gateway padrão) e outros não o encontrarão.

No mínimo, você precisa aceitar mensagens publicitárias de solicitação e vizinho vizinho. Se você usar anúncios de roteador para financiar o gateway padrão e / ou usar a configuração automática de endereços, precisará aceitá-los também. E o ping da sua máquina para depuração também pode ser útil, então talvez você queira aceitar também as mensagens de solicitação de eco.

Para obter uma lista completa das possíveis mensagens ICMPv6, consulte link .

    
por 31.07.2017 / 00:17