Apakah saya perlu aturan iptables yang terpisah untuk alamat ipv6?

12

Di server debian 5.0 saya, saya menyiapkan beberapa aturan iptables seperti di bawah ini:

ACCEPT     tcp  --  eee.fff.ggg.hhh      aaa.bbb.ccc.ddd     tcp dpt:80
DROP       tcp  --  0.0.0.0/0            aaa.bbb.ccc.ddd     tcp dpt:80

aaa.bbb.ccc.ddd adalah alamat ip server saya, dan eee.fff.ggg.hhh adalah server lain yang merupakan satu-satunya yang diizinkan mengakses porta. Saya perhatikan bahwa ada pengaturan addr inet6 di server saya, dan juga netstat menunjukkan bahwa apache2 mendengarkan pada alamat tcp6:

tcp6       0      0 :::80                   :::*                    LISTEN

Apakah saya perlu aturan iptables yang terpisah untuk alamat ipv6? Jika demikian, bagaimana saya bisa melakukannya? Saya tidak tahu apa-apa tentang IPv6. Terima kasih! apakah saya harus melakukannya? Jika saya tidak menggunakan ip6tables, akankah seseorang melewati aturan iptable dan terhubung ke port 80 saya melalui alamat ipv6?

linux  firewall  iptables  ipv6 
Long Cheng
sumber

Jawaban:

11

iptables hanya memfilter lalu lintas IPv4. Pengaturan aturan di iptables tidak akan menyentuh lalu lintas ipv6 dan karenanya Anda harus menggunakan ip6tables. Paling tidak Anda harus mengatur aturan tabel ke drop default. Dengan begitu hanya traffic yang Anda izinkan secara eksplisit akan tersedia.

TrueDuality
sumber
Akan lebih baik untuk memberikan alasan untuk penurunan standar, seperti yang dilakukan Marcin dalam komentar atas jawabannya. Masih +1.
0xC0000022L
@ 0xC0000022L Apakah Anda mengunci rumah saat keluar?
Denys Vitali
Uhm @DenysVitali mungkin sedikit kesalahpahaman dalam meminta alasan tidak sama dengan mengabaikan atau menolak saran ?!
0xC0000022L
5

Anda ingin melihat tabel ip6tables. HERE adalah skrip pendek yang bagus yang akan menunjukkan beberapa dasar

Marcin
sumber
hmm.. pertanyaan saya adalah, apakah saya harus melakukannya? Jika saya tidak menggunakan ip6tables, akankah seseorang melewati aturan iptable dan terhubung ke port 80 saya melalui alamat ipv6?
Long Cheng
Apakah Anda memiliki IPv6 diaktifkan secara default? Banyak distro hari ini datang dengan itu diaktifkan. Jika ya, maka Anda pasti ingin memfilter IPv6 secara eksplisit, karena IPv6 memiliki banyak konektivitas bawaan, bahkan jika Anda tidak mengonfigurasinya.
Marcin
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.