Это — старая версия документа!


Настройка IPv6-файрвола (ip6tables)

Поскольку при использовании IPv6 каждый из компьютеров вашей локальной сети будет иметь настоящий, Интернетовский IP-адрес, важно настроить на вашем роутере сетевой экран, который будет блокировать все запросы на входящие соединения из Интернета, но разрешать их, если они исходят из локальной сети. Это может выглядеть примерно так:

iptables -I INPUT  -p ipv6 -j ACCEPT
iptables -I OUTPUT -p ipv6 -j ACCEPT

ip6tables -F

ip6tables -A INPUT -p icmpv6 -m limit --limit 600/min -j ACCEPT
ip6tables -A INPUT -p icmpv6 -j DROP
ip6tables -A OUTPUT -p icmpv6 -m limit --limit 600/min -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 -j DROP
ip6tables -A FORWARD -p icmpv6 -m limit --limit 600/min -j ACCEPT
ip6tables -A FORWARD -p icmpv6 -j DROP

ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -i eth0 -j ACCEPT
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -j REJECT

ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -i eth0 -j ACCEPT
ip6tables -A FORWARD -j REJECT

ip6tables -A OUTPUT -j ACCEPT

Можно сохранить эти команды в шелл-скрипт, а чтобы он выполнялся при каждом включении компьютера, добавить его вызов в /etc/rc.local.

Либо, если вы как и я, пользуетесь скриптом arno-iptables-firewall, указанные команды достаточно внести в /etc/arno-iptables-firewall/custom-rules и перезапустить файрволл.


ip6tables.1286516714.txt · Последние изменения: 2011-05-31 10:45 UTC (внешнее изменение)