copie as regras do ipv4 para ip6tables

Question

copie as regras do ipv4 para ip6tables

#1 resposta do (4 votos)

1

Eu tenho um IPv4 estático e um endereço IPv6 estático. Agora, meus iptables parecem:

*filter
:INPUT DROP [28:2168]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [551:134808]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 111.222.333.555/32 -i eth0 -p tcp -m tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 111.222.333.444/32 -i eth0 -p tcp -m tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 389 -j ACCEPT
-A INPUT -i eth0 -s 123.4.567.111/32 -p udp -m udp --dport 161 -j ACCEPT
-A INPUT -i eth0 -s 123.4.567.111/32 -p udp -m udp --dport 6969 -j ACCEPT
-A INPUT -i eth0 -s 123.4.567.111/32 -p icmp -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

Eu tentei usar isso para minhas ip6tables IPv6, mas minhas tentativas falharam - eu não consigo mais pingar no google ou conectar via IPv6 a partir da minha estação de trabalho.

*filter
:INPUT DROP [28:2168]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [551:134808]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 389 -j ACCEPT
-A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

Neste momento, as máquinas com os endereços IP 111.222.333.555, 111.222.333.444 e 123.4.567.111 não possuem IPv6, mas quero implementá-lo agora.

Quando eu mudo o: INPUT DROP e: FORWARD DROP para ACCEPT, posso acessar a máquina com ssh -6, ping6 e http / https. Eu uso o debian wheezy 7.0.2, kernel 3.2.0.

networking debian iptables

por da_didi 21.11.2013 / 15:08

1 resposta

Tags networking debian iptables

Por que o servidor Apache está sendo acessado por um host? VPNs e NetBIOS

score 4 · Accepted Answer

O IPv6 depende de vários pacotes ICMPv6 para manter o funcionamento da rede. Para ativar o Ping, você precisa de uma regra como.

-A INPUT-p 58 --icmpv6-type 128 -j ACCEPT -m comment --comment "Ping"

Esta é uma cadeia que aceita os tipos de ICMP necessários. Foi extraído de um firewall gerado por Shorewall6 . É acessado com uma regra como:

-A INPUT -j AllowICMPs

-A AllowICMPs -p 58 --icmpv6-type 1 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 2 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 3 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 4 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 133 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 134 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 135 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 136 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 137 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 141 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 142 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 130 -s fe80::/10 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 131 -s fe80::/10 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 132 -s fe80::/10 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 143 -s fe80::/10 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 148 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 149 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 151 -s fe80::/10 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 152 -s fe80::/10 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"
-A AllowICMPs -p 58 --icmpv6-type 153 -s fe80::/10 -j ACCEPT -m comment --comment "Needed ICMP types (RFC4890)"