Это — старая версия документа!


Настройка IPv6-файрвола (ip6tables)

Поскольку при использовании IPv6 каждый из компьютеров вашей локальной сети будет иметь настоящий, Интернетовский IP-адрес, важно настроить на вашем маршрутизаторе сетевой экран, который будет блокировать входящие соединения из Интернета, но при этом разрешать исходящие из локальной сети. В GNU/Linux это может выглядеть примерно так:

# Внутренний интерфейс (локальная сеть)
INTIF=eth0

# Внешний интерфейс (IPv6-интернет)
EXTIF=tun-ipv6

iptables -I INPUT  -p ipv6 -j ACCEPT
iptables -I OUTPUT -p ipv6 -j ACCEPT

ip6tables -F

ip6tables -A FORWARD -i $EXTIF -o $EXTIF -j DROP

ip6tables -A INPUT -p icmpv6 -m limit --limit 600/min -j ACCEPT
ip6tables -A INPUT -p icmpv6 -j DROP
ip6tables -A OUTPUT -p icmpv6 -m limit --limit 600/min -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 -j DROP
ip6tables -A FORWARD -p icmpv6 -m limit --limit 600/min -j ACCEPT
ip6tables -A FORWARD -p icmpv6 -j DROP

ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -i $INTIF -j ACCEPT
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -j REJECT

ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -i $INTIF -j ACCEPT
ip6tables -A FORWARD -j REJECT

ip6tables -A OUTPUT -j ACCEPT

Можно сохранить эти команды в шелл-скрипт, а чтобы он выполнялся при каждом включении компьютера, добавить его вызов в /etc/rc.local.

Либо, если вы как и я, пользуетесь для настройки IPv4-файрволла скриптом arno-iptables-firewall, указанные команды достаточно внести в /etc/arno-iptables-firewall/custom-rules и выполнить /etc/init.d/arno-iptables-firewall restart.


ip6tables.1286517339.txt.gz · Последние изменения: 2011-05-31 10:46 UTC (внешнее изменение)
Personal Tools