ipv6アドレスには個別のiptablesルールが必要ですか?

12

私のdebian 5.0サーバーでは、以下のようなiptablesルールを設定しました:

ACCEPT     tcp  --  eee.fff.ggg.hhh      aaa.bbb.ccc.ddd     tcp dpt:80
DROP       tcp  --  0.0.0.0/0            aaa.bbb.ccc.ddd     tcp dpt:80

aaa.bbb.ccc.dddは私のサーバーのIPアドレスであり、eee.fff.ggg.hhhはポートへのアクセスが許可されている唯一のサーバーです。私のサーバーにはinet6 addrがセットアップされていることに気付きました。また、netstatはapache2がtcp6アドレスをリッスンしていることを示しています。

tcp6       0      0 :::80                   :::*                    LISTEN

ipv6アドレスには個別のiptablesルールが必要ですか?もしそうなら、どうすればできますか?ipv6については何も知りません。ありがとう!そうしなければなりませんか?ip6tablesを使用しない場合、誰かがiptableルールをバイパスし、ipv6アドレスを介して私の:80ポートに接続しますか?

linux  firewall  iptables  ipv6 
ロン・チェン
ソース

回答:

11

iptablesはIPv4トラフィックのみをフィルタリングします。iptablesで設定されたルールはipv6トラフィックに影響しないため、ip6tablesを使用する必要があります。少なくとも、テーブルのルールをデフォルトのドロップに設定する必要があります。これにより、明示的に許可したトラフィックのみが利用可能になります。

TrueDuality
ソース
Marcinが彼の答えへのコメントでしたように、デフォルトのドロップの理由を示す方がよかったでしょう。まだ+1。
0xC0000022L
@ 0xC0000022L外出するときに家をロックしますか?
デニス・ビタリ
ええと@DenysVitaliは、理論的根拠を求めることはアドバイスを無視したり不承認にしたりするのと同じではないという点で、おそらく少し誤解していますか?!
-0xC0000022L
5

ip6tablesを見たいと思います。 ここにいくつかの基本をデモする良い短いスクリプトがあります

マルシン
ソース
うーん、私の質問は、そうしなければならないのですか?ip6tablesを使用しない場合、誰かがiptableルールをバイパスし、ipv6アドレスを介して私の:80ポートに接続しますか?
ロングチェン
デフォルトでIPv6が有効になっていますか?最近では多くのディストリビューションが有効になっています。「はい」の場合、IPv6には多くの組み込み接続が組み込まれているため、設定しなくてもIPv6を明示的に除外する必要があります。
マルチン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.