Eğer sadece iptables kullanıyorsam, ipv6 için başka bir iptables kuralı kurmam gerekir mi?

Diyelim ki linux sunucumda iptables içeren bir güvenlik duvarı kurulumu var, böylece yalnızca 22 ve 80 numaralı bağlantı noktalarını kabul ediyorum ve diğer tüm bağlantı noktalarına erişimi engelliyorum.

Bu kurallar yalnızca istemci makine bir IPv4 adresi kullanıyorsa çalışır mı? Yani bir ipv6 adresi kullanılıyorsa, istemci istemiyorum bağlantı noktalarına erişmesini istemiyorum? (yani, 22 numaralı ve 80 numaralı bağlantı noktaları dışındaki bağlantı noktaları)

iptables

— user230779
kaynak

Yanıtların hiçbirini yararlı olarak işaretlemediniz. Bunu yapmalısın. ;-)

— Anders

Yanıtlar:

iptablesIPv4 için çalışıyor ancak IPv6'da çalışmıyor. ip6tableseşdeğer IPv6 güvenlik duvarıdır ve yüklenir iptables.

Sonuçta, yine de, iptablesIPv4 bağlantıları içindir, ip6tablesIPv6 bağlantıları içindir. Eğer isterseniz iptableskuralları da IPv6 uygulanacak, sen bunları eklemek zorunda ip6tablessıra.

Kural iptableskümenizi içeri girmeye ve çoğaltmaya çalışırsanız ip6tables, iptablesyapılabilecek tüm kurallar düzgün bir şekilde ele alınmaz ip6tables, ancak çoğu uygulanır.

İçindeip6tables kullandığınız komutların iptablesdüzgün bir şekilde bağlantı kuracağından emin olmak için man sayfasına bakın .

İsterseniz, eşdeğer oluşturmanıza yardımcı olabiliriz ip6tablesiptables , güvenlik duvarı kural listenizi sağlarsanız (kural sistemini belirleyebilecek herhangi bir bilgiyi kaldırarak) , kurallarınıza uygun kurallar olabiliriz. Aksi takdirde, sadece genel sorunuza cevap verebiliriz.

— Thomas Ward
kaynak

O zaman bu saçma değil mi? Netleştirmek için, şu anda sunucudaki tüm bağlantı noktalarım bir IPv6 adresiyle bağlantı kuran herkese açık?

— user230779

@ user230779 Bunun "saçma" olduğuna katılıyorum, ancak bu yüzden ufwve diğer güvenlik duvarı yöneticileri var, kuralları kendilerine ekliyorlar. Buradaki sorun şu ki, "IPv6'ya sahip biri sitemi görebilir mi?" En büyük sorun, sisteminizde IPv6 adresleri olup olmadığıdır. Çoğu bağlantı benim gibi istemci bilgisayarlardan gelen IPv4 ve IPv6'ya sahiptir. Ancak, uzak sunucu halka açık olan bir IPv6'ya sahip değilse, IPv4 bağlanır. Anladığım kadarıyla IPv6'nız varsa, kuralları da eklemelisiniz ip6tables.

— Thomas Ward

@ user230779 iptablesAND için aynı komutu uygulayan bir komut dosyası oluşturabilirim ip6tablesve genel kurallar -p tcp --dporthala işe yarayacaktır, ancak daha karmaşık kurallar olmayabilir ... (gibi -j REJECT --reject-with [something])

— Thomas Ward

Thomas beni bir apache web sunucusu için güvenli bir ip6tables örneğine bağlayabilir misin?

— user230779

@Braiam bayraklar hakkında hiçbir şey söylemedi. Bazı komutlar çalışmaz ( -j REJECT --reject-with icmp-host-prohibitedörneğin, reddetme paketi IPv6'da farklı bir ad olduğu için)

— Thomas Ward

Diğerlerinin size söylediği gibi, IPv4 ve IPv6 için farklı güvenlik duvarı tabloları vardır. IPv4 için olduğu gibi IPv6 için kurallar koyabilirsiniz, ancak IPv6'yı bilmiyorsanız karışma riskiniz büyüktür. Mesela, düşemezsinICMP IPv6'ya düşemezsiniz, çünkü burada el sıkışan önemli parçalar var. Gönderene, çerçevelerin büyük olduğunu vb. Söylemek gibi. Bu şeyler olmadan IPv6 bazı kullanıcılar için çalışmayı durdurabilirdi.

Bu nedenle ufw, paketin shorewall6birlikte kullanılması veya şiddetle kullanılması tavsiye edilir shorewall. Ön iptablesuç ufwhem IPv4'ü hem de IPv6'yı destekler ve bir veya iki arabirimli sunucularda harika çalışır ancak trafiği yönlendirmez (bir yönlendirici veya ağ geçidi olarak çalışır). Trafiği yönlendirirseniz, daha iyi bir şeye ihtiyacınız vardır, shorewallyönlendirmek için bazı kurallar ekleyin veya elle ekleyiniptables ve ip6tables.

Arabirimlerinizde birden fazla IPv6 adresi olabileceğini unutmayın. Bazıları yalnızca yerel bağlantı, bazıları ise genel olarak statik ve dinamiktir. Dolayısıyla buna göre kurallar koymalısınız ve sunucular sadece doğru adresleri dinliyor olmalı.

— Anders
kaynak