ipv6地址是否需要单独的iptables规则?

12

在我的debian 5.0服务器上,我设置了一些iptables规则,如下所示:

ACCEPT     tcp  --  eee.fff.ggg.hhh      aaa.bbb.ccc.ddd     tcp dpt:80
DROP       tcp  --  0.0.0.0/0            aaa.bbb.ccc.ddd     tcp dpt:80

aaa.bbb.ccc.ddd是我的服务器的IP地址,而eee.fff.ggg.hhh是另一台服务器,这是唯一允许访问该端口的服务器。我注意到服务器上有inet6 addr设置,netstat也显示apache2正在监听tcp6地址:

tcp6       0      0 :::80                   :::*                    LISTEN

ipv6地址是否需要单独的iptables规则?如果是这样,我该怎么办?我对ipv6一无所知。谢谢!我必须这样做吗?如果我不使用ip6tables,有人会绕过iptable规则并通过ipv6地址连接到我的:80端口吗?

linux  firewall  iptables  ipv6 
龙城
source

Answers:

11

iptables仅过滤IPv4流量。在iptables中设置规则不会影响ipv6流量,因此您应该使用ip6tables。至少应将表规则设置为默认删除。这样,只有您明确允许的流量才可用。

TrueDuality
source
给出默认删除的原因会更好,就像Marcin在评论他的答案中所做的那样。仍然+1。
0xC0000022L13年
@ 0xC0000022L外出时您是否锁定房屋?
Denys Vitali
嗯,@ DenysVitali可能有点误解,因为要求基本原理与无视或不赞成建议是一样的!
0xC0000022L
5

您想看一下ip6tables。 这里是一个很好的简短脚本,可以演示一些基础知识

马辛
source
嗯..我的问题是,我必须这样做吗?如果我不使用ip6tables,有人会绕过iptable规则并通过ipv6地址连接到我的:80端口吗?
龙城
您是否默认启用了IPv6?如今,许多发行版都启用了它。如果是,那么您肯定要明确地过滤掉IPv6,因为IPv6具有很多内置连接,即使您未配置它也是如此。
Marcin
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.