Нужно ли мне устанавливать другие правила iptables для ipv6, если я только что использовал iptables?
Скажем, на моем linux-сервере настроен брандмауэр с iptables, поэтому я принимаю только трафик через порт 22 и порт 80 и блокирую доступ ко всем остальным портам.
Эти правила работают, только если клиентский компьютер использует адрес IPv4? Так что, если используется адрес ipv6, клиент может получить доступ к портам, которые я им не хочу? (т.е. порты, отличные от порта 22 и порта 80)
2 ответа
iptables работает для IPv4, но не для IPv6. ip6tables является эквивалентным межсетевым экраном IPv6 и устанавливается вместе с iptables.
В конечном счете, iptables для соединений IPv4, ip6tables для соединений IPv6. Если вы хотите, чтобы ваши правила iptables также применялись к IPv6, вы должны добавить их и в ip6tables.
Если вы попытаетесь скопировать свой iptables набор правил в ip6tables, не все правила, которые iptables может выполнить, будут аккуратно перенесены на ip6tables, но большинство из них будет.
Обратитесь к справочной странице для ip6tables , если вы хотите убедиться, что команды, которые вы используете в iptables, будут аккуратно перенесены.
Если вы хотите, мы можем помочь вам создать эквивалентные ip6tables наборы правил, соответствующие вашим iptables правилам, если вы предоставите свой список правил брандмауэра (удаляя любую информацию, которая может идентифицировать систему повреждения). В противном случае мы можем ответить только на ваш общий вопрос.
Как уже говорили другие, существуют разные таблицы брандмауэров для IPv4 и IPv6. Вы можете установить правила для IPv6, например, для IPv4, но есть большой риск, что вы испортите его, если не знаете IPv6. Например, вы не можете удалить ICMP для IPv6, так как там есть важные части рукопожатия. Например, сказать отправителю, что кадры слишком большие и т. Д. Без этого IPv6 может перестать работать для некоторых пользователей.
Поэтому настоятельно рекомендуется использовать ufw или пакет shorewall6 вместе с shorewall. Интерфейс iptables ufw поддерживает как IPv4, так и IPv6 и отлично работает на серверах с одним или двумя интерфейсами, но не маршрутизирует трафик (работает как маршрутизатор или шлюз). Если вы маршрутизируете трафик, вам нужно что-то лучше, например, shorewall или вручную добавить некоторые правила для переадресации с помощью iptables и ip6tables.
Не забывайте, что на ваших интерфейсах может быть несколько IPv6-адресов. Некоторые из них являются только локальными ссылками, некоторые являются глобально статичными и динамическими. Поэтому вы должны установить правила соответствующим образом, а серверы будут прослушивать только правильные адреса.