Вопросы Теги

ip6tables - конфигурация

Я создаю другую ветку для моей конфигурации ip6tables. 

ip6tables -F
ip6tables -X
ip6tables -t nat -F
ip6tables -t nat -X
ip6tables -t mangle -F
ip6tables -t mangle -X
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT DROP 

# Autorise les connexions déjà établies et localhost                
ip6tables -A INPUT -m state --state ESTABLISHED -j ACCEPT       
ip6tables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT  
ip6tables -A INPUT -i lo -j ACCEPT                          
#ip6tables -A OUTPUT -o lo -j ACCEPT


#TOR
ip6tables -A OUTPUT -p tcp -m tcp --dport 9050 -j ACCEPT

# ICMP (Ping)                                       
ip6tables -A INPUT -p icmpv6 -j ACCEPT                      
ip6tables -A OUTPUT -p icmpv6 -j ACCEPT

# DNS                                           
ip6tables -A OUTPUT -p tcp --dport 53 -j ACCEPT                 
ip6tables -A OUTPUT -p udp --dport 53 -j ACCEPT                     

# HTTP                                          
ip6tables -A OUTPUT -p tcp --dport 80 -j ACCEPT             


#HTTPS
ip6tables -A OUTPUT -p tcp --dport 443 -j ACCEPT                        


# Mail SMTP 

ip6tables -A INPUT -p tcp --dport 25  -j ACCEPT
ip6tables -A OUTPUT -p tcp --dport 25 -j ACCEPT  
ip6tables -A INPUT -p tcp --dport 587 -j ACCEPT
ip6tables -A OUTPUT -p tcp --dport 587 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 465 -j ACCEPT
ip6tables -A OUTPUT -p tcp --dport 465 -j ACCEPT


#Transmission
ip6tables -A INPUT -p udp --dport 51413 -j ACCEPT
ip6tables -A OUTPUT -p udp --sport 51413 -j ACCEPT


# NTP (horloge du serveur) 
ip6tables -A OUTPUT -p udp --dport 123 -j ACCEPT    

# On log les paquets en entrée.
ip6tables -A INPUT -j LOG


exit 0

Все работает ... кроме SMTP. Я просто не понимаю почему. Не могли бы вы помочь мне понять, что происходит?

Заранее спасибо! `

1
задан 30 April 2019 в 08:36

1 ответ

Итак, как рекомендуется, если это может быть полезным в будущем.

Для ipv6 icmp гораздо важнее, чем для ipv4. Таким образом, это должно быть разрешено.

Итак, я просто должен был принять все icmpv6, и все работало нормально.

Однако, это, очевидно, не совсем безопасно. Более безопасный вариант - принимать только типы icmpv6, которые строго необходимы для того, чтобы все работало: 

ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m state --state UNTRACKED -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m state --state UNTRACKED -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m state --state UNTRACKED -m hl --hl-eq 255 -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type router-solicitation -m state --state UNTRACKED -m hl --hl-eq 255 -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m state --state UNTRACKED -m hl --hl-eq 255 -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m state --state UNTRACKED -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 -j DROP
ip6tables -A OUTPUT -p icmpv6 -j DROP
0
ответ дан 30 April 2019 в 08:36

Другие вопросы по тегам:

Похожие вопросы: