Различия

Здесь показаны различия между выбранной ревизией и текущей версией данной страницы.

ip6tables [2010-10-27 19:51 UTC]
rm
ip6tables [2018-05-07 12:22 UTC] (текущий)
rm
Строка 1: Строка 1:
====== Настройка IPv6-файрвола (ip6tables) ====== ====== Настройка IPv6-файрвола (ip6tables) ======
- 
Поскольку при использовании IPv6 каждый из компьютеров вашей локальной сети будет иметь настоящий, Интернетовский IP-адрес, важно настроить на вашем маршрутизаторе сетевой экран, который будет блокировать входящие соединения из Интернета, но при этом разрешать исходящие из локальной сети. В GNU/Linux это может выглядеть примерно так: Поскольку при использовании IPv6 каждый из компьютеров вашей локальной сети будет иметь настоящий, Интернетовский IP-адрес, важно настроить на вашем маршрутизаторе сетевой экран, который будет блокировать входящие соединения из Интернета, но при этом разрешать исходящие из локальной сети. В GNU/Linux это может выглядеть примерно так:
<code> <code>
# Внутренний интерфейс (локальная сеть) # Внутренний интерфейс (локальная сеть)
INTIF=eth0 INTIF=eth0
- 
-# Внешний интерфейс (IPv6-интернет) 
-EXTIF=tun-ipv6 
iptables -I INPUT  -p ipv6 -j ACCEPT iptables -I INPUT  -p ipv6 -j ACCEPT
iptables -I OUTPUT -p ipv6 -j ACCEPT iptables -I OUTPUT -p ipv6 -j ACCEPT
 +ip6tables -P INPUT DROP
 +ip6tables -P FORWARD DROP
 +ip6tables -P OUTPUT ACCEPT
ip6tables -F ip6tables -F
-ip6tables -A FORWARD -i $EXTIF -o $EXTIF -j DROP+ip6tables -A INPUT   -i lo     -j ACCEPT 
 +ip6tables -A INPUT   -i $INTIF -j ACCEPT 
 +ip6tables -A FORWARD -i $INTIF -j ACCEPT
-ip6tables -A INPUT -p icmpv6 -m limit --limit 600/min -j ACCEPT +ip6tables -A INPUT            -p icmpv6 -m limit --limit 900/min -j ACCEPT 
-ip6tables -A INPUT -p icmpv6 -j DROP +ip6tables -A FORWARD -o $INTIF -p icmpv6 -m limit --limit 900/min -j ACCEPT
-ip6tables -A OUTPUT -p icmpv6 -m limit --limit 600/min -j ACCEPT +
-ip6tables -A OUTPUT -p icmpv6 -j DROP +
-ip6tables -A FORWARD -p icmpv6 -m limit --limit 600/min -j ACCEPT +
-ip6tables -A FORWARD -p icmpv6 -j DROP +
- +
-ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT +
-ip6tables -A INPUT -i $INTIF -j ACCEPT +
-ip6tables -A INPUT -i lo -j ACCEPT +
-ip6tables -A INPUT -j REJECT +
- +
-ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT +
-ip6tables -A FORWARD -i $INTIF -j ACCEPT +
-ip6tables -A FORWARD -j REJECT+
-ip6tables -A OUTPUT -j ACCEPT</code> +ip6tables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT 
-Можно сохранить эти команды в шелл-скрипт, а чтобы он выполнялся при каждом включении компьютера, добавить его вызов в ''/etc/rc.local''.+ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT</code>
-Либо, если вы как и я, пользуетесь для настройки IPv4-файрволла скриптом [[http://packages.debian.org/arno-iptables-firewall|arno-iptables-firewall]], указанные команды достаточно внести в ''/etc/arno-iptables-firewall/custom-rules'' и выполнить ''/etc/init.d/arno-iptables-firewall restart''.+Можно сохранить эти команды в шелл-скрипт и добавить его для запуска перед поднятием IPv6 туннеля, либо (при нативном подключении) перед поднятием первого же из сетевых интерфейсов (например, в Debian, директивой ''pre-up'' для соответствующего интерфейса в ''/etc/network/interfaces'').

ip6tables.1288209070.txt.gz · Последние изменения: 2011-05-31 10:45 UTC (внешнее изменение)
Personal Tools