Eu também preciso configurar outras regras do iptables para o ipv6 se eu usar o iptables?

Question

Eu também preciso configurar outras regras do iptables para o ipv6 se eu usar o iptables?

#1 resposta do Thomas Ward (18 votos)
#2 resposta do Anders (2 votos)

17

Digamos que eu tenha uma configuração de firewall no meu servidor linux com iptables, para que eu aceite apenas o tráfego da porta 22 e da porta 80 e eu bloqueie o acesso a todas as outras portas.

Essas regras só funcionam se a máquina cliente estiver usando um endereço IPv4? Então, se um endereço ipv6 é usado, o cliente pode acessar as portas que eu não quero? (ou seja, portas que não sejam a porta 22 e a porta 80)

iptables

por user230779 01.01.2014 / 22:05

2 respostas

Tags iptables

Onde o Gnome / Nautilus armazena ícones de diretórios? Como habilito a emulação do botão do meio do mouse em 12.04 LTS?

score 18 · Answer 1

iptables funciona para IPv4, mas não para IPv6. ip6tables é o firewall IPv6 equivalente e é instalado com iptables .

Por fim, no entanto, iptables é para conexões IPv4, ip6tables é para conexões IPv6. Se você quiser que suas regras iptables também se apliquem ao IPv6, você também precisará adicioná-las a ip6tables .

Se você tentar replicar seu conjunto de regras iptables em ip6tables , nem todas as regras que iptables podem fazer serão transferidas para ip6tables , mas a maioria delas será necessária.

Consulte a página de manual para ip6tables se você quiser fazer Certifique-se de que os comandos que você usa no seu iptables serão organizados de forma ordenada.

Se desejar, podemos ajudar a criar conjuntos de regras ip6tables equivalentes para corresponder às regras iptables , se você fornecer sua lista de regras de firewall (removendo todas as informações que possam identificar o sistema de coruse). Caso contrário, só podemos responder à sua pergunta geral.

score 2 · Answer 2

Como outros já disseram, existem diferentes tabelas de firewall para IPv4 e IPv6. Você poderia configurar regras para o IPv6 como para o IPv4, mas há um grande risco de que você não consiga usar o IPv6. Tipo, você não pode largar ICMP para o IPv6, pois há partes essenciais do aperto de mão lá. Como dizer ao remetente que os quadros estão grandes, etc. Sem essas coisas, o IPv6 pode parar de funcionar para alguns usuários.

Por isso, recomendamos enfaticamente o uso de ufw ou o pacote shorewall6 junto com shorewall . O iptables frontend ufw suporta IPv4 e IPv6 e funciona muito bem em servidores com uma ou duas interfaces, mas não roteia o tráfego (funciona como um roteador ou gateway). Se você direcionar o tráfego, precisará de algo melhor, como shorewall ou adicionar manualmente algumas regras para encaminhamento com iptables e ip6tables .

Não se esqueça de que você pode ter mais de um endereço IPv6 nas suas interfaces. Alguns são apenas links locais, alguns são globalmente estáticos e dinâmicos. Então você deve configurar as regras de acordo e os servidores apenas ouvindo os endereços corretos.