Вы находитесь здесь: version6.ru » Настройка IPv6-файрвола (ip6tables)
Различия
Здесь показаны различия между выбранной ревизией и текущей версией данной страницы.
|
ip6tables [2011-05-31 10:44 UTC] 127.0.0.1 внешнее изменение |
ip6tables [2018-05-07 12:22 UTC] (текущий) rm |
||
|---|---|---|---|
| Строка 4: | Строка 4: | ||
| # Внутренний интерфейс (локальная сеть) | # Внутренний интерфейс (локальная сеть) | ||
| INTIF=eth0 | INTIF=eth0 | ||
| - | |||
| - | # Внешний интерфейс (IPv6-интернет) | ||
| - | EXTIF=tun-ipv6 | ||
| iptables -I INPUT -p ipv6 -j ACCEPT | iptables -I INPUT -p ipv6 -j ACCEPT | ||
| iptables -I OUTPUT -p ipv6 -j ACCEPT | iptables -I OUTPUT -p ipv6 -j ACCEPT | ||
| + | ip6tables -P INPUT DROP | ||
| + | ip6tables -P FORWARD DROP | ||
| + | ip6tables -P OUTPUT ACCEPT | ||
| ip6tables -F | ip6tables -F | ||
| - | ip6tables -A FORWARD -i $EXTIF -o $EXTIF -j DROP | + | ip6tables -A INPUT -i lo -j ACCEPT |
| + | ip6tables -A INPUT -i $INTIF -j ACCEPT | ||
| + | ip6tables -A FORWARD -i $INTIF -j ACCEPT | ||
| - | ip6tables -A INPUT -p icmpv6 -m limit --limit 600/min -j ACCEPT | + | ip6tables -A INPUT -p icmpv6 -m limit --limit 900/min -j ACCEPT |
| - | ip6tables -A INPUT -p icmpv6 -j DROP | + | ip6tables -A FORWARD -o $INTIF -p icmpv6 -m limit --limit 900/min -j ACCEPT |
| - | ip6tables -A OUTPUT -p icmpv6 -m limit --limit 600/min -j ACCEPT | + | |
| - | ip6tables -A OUTPUT -p icmpv6 -j DROP | + | |
| - | ip6tables -A FORWARD -p icmpv6 -m limit --limit 600/min -j ACCEPT | + | |
| - | ip6tables -A FORWARD -p icmpv6 -j DROP | + | |
| - | + | ||
| - | ip6tables -A INPUT -i lo -j ACCEPT | + | |
| - | ip6tables -A INPUT -i $INTIF -j ACCEPT | + | |
| - | ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT | + | |
| - | ip6tables -A INPUT -j REJECT | + | |
| - | + | ||
| - | ip6tables -A FORWARD -i $INTIF -j ACCEPT | + | |
| - | ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT | + | |
| - | ip6tables -A FORWARD -j REJECT | + | |
| - | ip6tables -A OUTPUT -j ACCEPT</code> | + | ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT |
| - | Можно сохранить эти команды в шелл-скрипт, а чтобы он выполнялся при каждом включении компьютера, добавить его вызов в ''/etc/rc.local''. | + | ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT</code> |
| - | Либо, если вы как и я, пользуетесь для настройки IPv4-файрволла скриптом [[http://packages.debian.org/arno-iptables-firewall|arno-iptables-firewall]], указанные команды достаточно внести в ''/etc/arno-iptables-firewall/custom-rules'' и выполнить ''/etc/init.d/arno-iptables-firewall restart''. | + | Можно сохранить эти команды в шелл-скрипт и добавить его для запуска перед поднятием IPv6 туннеля, либо (при нативном подключении) перед поднятием первого же из сетевых интерфейсов (например, в Debian, директивой ''pre-up'' для соответствующего интерфейса в ''/etc/network/interfaces''). |
ip6tables.1306838646.txt.gz · Последние изменения: 2014-10-02 10:30 UTC (внешнее изменение)
