Вы находитесь здесь: version6.ru » Настройка IPv6-файрвола (ip6tables)
Различия
Здесь показаны различия между выбранной ревизией и текущей версией данной страницы.
ip6tables [2010-10-08 05:45 UTC] rm создано |
ip6tables [2018-05-07 12:22 UTC] (текущий) rm |
||
---|---|---|---|
Строка 1: | Строка 1: | ||
====== Настройка IPv6-файрвола (ip6tables) ====== | ====== Настройка IPv6-файрвола (ip6tables) ====== | ||
- | Поскольку при использовании IPv6 каждый из компьютеров вашей локальной сети будет иметь настоящий, Интернетовский IP-адрес, важно настроить на вашем роутере сетевой экран, который будет блокировать все запросы на входящие соединения из Интернета, но разрешать их, если они исходят из локальной сети. Это может выглядеть примерно так: | + | Поскольку при использовании IPv6 каждый из компьютеров вашей локальной сети будет иметь настоящий, Интернетовский IP-адрес, важно настроить на вашем маршрутизаторе сетевой экран, который будет блокировать входящие соединения из Интернета, но при этом разрешать исходящие из локальной сети. В GNU/Linux это может выглядеть примерно так: |
- | <code>iptables -I INPUT -p ipv6 -j ACCEPT | + | <code> |
+ | # Внутренний интерфейс (локальная сеть) | ||
+ | INTIF=eth0 | ||
+ | |||
+ | iptables -I INPUT -p ipv6 -j ACCEPT | ||
iptables -I OUTPUT -p ipv6 -j ACCEPT | iptables -I OUTPUT -p ipv6 -j ACCEPT | ||
+ | ip6tables -P INPUT DROP | ||
+ | ip6tables -P FORWARD DROP | ||
+ | ip6tables -P OUTPUT ACCEPT | ||
ip6tables -F | ip6tables -F | ||
- | ip6tables -A INPUT -p icmpv6 -m limit --limit 600/min -j ACCEPT | + | ip6tables -A INPUT -i lo -j ACCEPT |
- | ip6tables -A INPUT -p icmpv6 -j DROP | + | ip6tables -A INPUT -i $INTIF -j ACCEPT |
- | ip6tables -A OUTPUT -p icmpv6 -m limit --limit 600/min -j ACCEPT | + | ip6tables -A FORWARD -i $INTIF -j ACCEPT |
- | ip6tables -A OUTPUT -p icmpv6 -j DROP | + | |
- | ip6tables -A FORWARD -p icmpv6 -m limit --limit 600/min -j ACCEPT | + | |
- | ip6tables -A FORWARD -p icmpv6 -j DROP | + | |
- | + | ||
- | ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT | + | |
- | ip6tables -A INPUT -i eth0 -j ACCEPT | + | |
- | ip6tables -A INPUT -i lo -j ACCEPT | + | |
- | ip6tables -A INPUT -j REJECT | + | |
- | ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT | + | ip6tables -A INPUT -p icmpv6 -m limit --limit 900/min -j ACCEPT |
- | ip6tables -A FORWARD -i eth0 -j ACCEPT | + | ip6tables -A FORWARD -o $INTIF -p icmpv6 -m limit --limit 900/min -j ACCEPT |
- | ip6tables -A FORWARD -j REJECT | + | |
- | ip6tables -A OUTPUT -j ACCEPT</code> | + | ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT |
- | Можно сохранить эти команды в шелл-скрипт, а чтобы он выполнялся при каждом включении компьютера, добавить его вызов в ''/etc/rc.local''. | + | ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT</code> |
- | Либо, если вы как и я, пользуетесь скриптом [[http://packages.debian.org/arno-iptables-firewall|arno-iptables-firewall]], указанные команды достаточно внести в ''/etc/arno-iptables-firewall/custom-rules'' и перезапустить файрволл. | + | Можно сохранить эти команды в шелл-скрипт и добавить его для запуска перед поднятием IPv6 туннеля, либо (при нативном подключении) перед поднятием первого же из сетевых интерфейсов (например, в Debian, директивой ''pre-up'' для соответствующего интерфейса в ''/etc/network/interfaces''). |
ip6tables.1286516714.txt.gz · Последние изменения: 2011-05-31 10:45 UTC (внешнее изменение)