Pertanyaan Apakah saya juga perlu mengatur aturan iptables lain untuk ipv6 jika saya hanya menggunakan iptables?


Katakanlah saya memiliki pengaturan firewall di server linux saya dengan iptables sehingga saya hanya menerima lalu lintas port 22 dan port 80 dan saya memblokir akses ke semua port lainnya.

Apakah aturan ini hanya berfungsi jika mesin klien menggunakan alamat IPv4? Jadi, jika alamat ipv6 digunakan, klien dapat mengakses port yang tidak saya inginkan? (yaitu port selain port 22 dan port 80)


18
2018-01-01 21:05


asal


Anda belum menandai salah satu jawaban sebagai berguna. Kamu harus melakukan itu. ;-) - Anders


Jawaban:


iptables berfungsi untuk IPv4, tetapi tidak IPv6. ip6tables adalah firewall IPv6 yang setara, dan diinstal dengan iptables.

Pada akhirnya, meskipun, iptables adalah untuk koneksi IPv4, ip6tables adalah untuk koneksi IPv6. Jika Anda menginginkan Anda iptables aturan juga berlaku untuk IPv6, Anda harus menambahkannya ip6tables demikian juga.


Jika Anda mencoba dan meniru Anda iptables seperangkat aturan di ip6tables, tidak semua aturan itu iptables dapat melakukan port akan lebih rapi ke ip6tables, tetapi kebanyakan dari mereka akan.

Mengacu kepada manual untuk ip6tables jika Anda ingin memastikan perintah yang Anda gunakan di Anda iptables akan dengan rapi port over.


Jika Anda mau, kami dapat membantu Anda membuat yang setara ip6tables aturan untuk mencocokkan Anda iptables aturan, jika Anda memberikan daftar aturan firewall Anda (menghapus informasi apa pun yang dapat mengidentifikasi sistem korektif). Kalau tidak, kami hanya bisa menjawab pertanyaan umum Anda.


18
2018-01-01 21:10



Bukankah ini konyol kalau begitu? Untuk mengklarifikasi, jadi sekarang semua port saya di server terbuka lebar untuk siapa saja yang terhubung dengan alamat IPv6? - user230779
@ user230779 Saya setuju itu "konyol" tetapi inilah alasannya ufw dan pengelola firewall lainnya ada, mereka menambahkan aturan sendiri untuk keduanya, karenanya. Masalah yang dihadapi di sini, bukan, "Adakah yang bisa bersama IPv6 melihat situs saya?" masalah yang lebih besar adalah apakah sistem Anda memiliki alamat IPv6. Sebagian besar koneksi memiliki IPv4 dan IPv6 dari komputer klien seperti milik saya. Tetapi jika server jauh tidak memiliki IPv6 yang menghadap publik, maka IPv4 terhubung. Seperti yang saya pahami, meskipun, jika Anda memiliki IPv6 Anda harus menambahkan aturan ip6tables demikian juga. - Thomas Ward♦
@ user230779 Saya bisa membuat skrip yang menjalankan perintah yang sama untuk iptables DAN ip6tables, dan aturan umum seperti -p tcp --dport masih akan berfungsi, tetapi aturan yang lebih kompleks mungkin tidak ... (seperti -j REJECT --reject-with [something]) - Thomas Ward♦
Thomas dapat Anda tautkan saya ke contoh ip6tables yang aman untuk server web apache? - user230779
@Braiam tidak pernah mengatakan apa-apa tentang bendera. Beberapa perintah tidak berfungsi (-j REJECT --reject-with icmp-host-prohibited misalnya, karena paket reject adalah nama yang berbeda di IPv6) - Thomas Ward♦


Seperti yang sudah dikatakan orang lain, ada tabel firewall yang berbeda untuk IPv4 dan IPv6. Anda dapat mengatur aturan untuk IPv6 seperti untuk IPv4, tetapi ada risiko besar Anda akan mengacaukannya jika Anda tidak tahu IPv6. Seperti, kamu tidak boleh jatuh ICMP untuk IPv6, karena ada bagian handshake penting di sana. Seperti memberi tahu pengirim bahwa bingkainya besar, dll. Tanpa hal-hal itu, IPv6 dapat berhenti berfungsi untuk beberapa pengguna.

Jadi itu akan sangat menyarankan penggunaan ufw atau paketnya shorewall6 bersama dengan shorewall. Itu iptables paling depan ufw mendukung IPv4 dan IPv6 dan bekerja dengan baik pada server dengan satu atau dua antarmuka tetapi tidak mengarahkan lalu lintas (berfungsi sebagai router atau gateway). Jika Anda merutekan lalu lintas, Anda membutuhkan sesuatu yang lebih baik, seperti shorewall atau secara manual menambahkan beberapa aturan untuk diteruskan iptables dan ip6tables.

Jangan lupa bahwa Anda dapat memiliki lebih dari satu alamat IPv6 pada antarmuka Anda. Beberapa hanya tautan lokal, beberapa secara global statis dan dinamis. Jadi Anda harus menyiapkan aturan yang sesuai dan server hanya mendengarkan di alamat yang benar.


3
2018-01-02 02:28