Czy potrzebuję oddzielnej reguły iptables dla adresu IPv6?

12

Na moim serwerze debian 5.0 konfiguruję niektóre reguły iptables, takie jak poniżej:

ACCEPT     tcp  --  eee.fff.ggg.hhh      aaa.bbb.ccc.ddd     tcp dpt:80
DROP       tcp  --  0.0.0.0/0            aaa.bbb.ccc.ddd     tcp dpt:80

aaa.bbb.ccc.ddd to adres IP mojego serwera, a eee.fff.ggg.hhh to drugi serwer, który jako jedyny może uzyskać dostęp do portu. Zauważyłem, że na moim serwerze jest konfiguracja adresu inet6, a także netstat pokazuje, że apache2 nasłuchuje na adresie tcp6:

tcp6       0      0 :::80                   :::*                    LISTEN

Czy potrzebuję oddzielnej reguły iptables dla adresu IPv6? Jeśli tak, jak mogę to zrobić? Nic nie wiem o ipv6. Dzięki! czy muszę to zrobić? Jeśli nie używam ip6tables, czy ktoś obejdzie regułę iptable i połączy się z moim portem: 80 przez adres ipv6?

linux firewall iptables ipv6 Long Cheng
źródło

Odpowiedzi:

11

iptables filtruje tylko ruch IPv4. Ustawienia reguł w iptables nie będą dotykać ruchu ipv6, dlatego powinieneś używać ip6tables. Przynajmniej powinieneś ustawić reguły tabel na domyślne upuszczanie. W ten sposób dostępny będzie tylko ruch dozwolony przez użytkownika.

TrueDuality
źródło
Byłoby fajniej podać powód domyślnego spadku, tak jak Marcin w komentarzu do swojej odpowiedzi. Nadal +1.
0xC0000022L,
@ 0xC0000022L Czy zamykasz dom, kiedy wychodzisz?
Denys Vitali,
Uhm @DenysVitali, być może trochę nieporozumienie w tym, że prośba o uzasadnienie nie jest tym samym, co zignorowanie lub odrzucenie porady ?!
0xC0000022L
5

Chcesz spojrzeć na ip6tables. TUTAJ to dobry krótki skrypt, który pokazałby niektóre podstawy

Marcin
źródło
hmm .. moje pytanie brzmi, czy muszę to zrobić? Jeśli nie używam ip6tables, czy ktoś obejdzie regułę iptable i połączy się z moim portem: 80 przez adres ipv6?
Long Cheng,
Czy masz domyślnie włączony IPv6? Obecnie wiele dystrybucji ma włączoną obsługę. Jeśli tak, to zdecydowanie chcesz wyraźnie odfiltrować IPv6, ponieważ IPv6 ma wiele wbudowanych połączeń, nawet jeśli go nie skonfigurujesz.
Marcin,