Benötige ich eine separate iptables-Regel für die IPv6-Adresse?

12

Auf meinem Debian 5.0-Server habe ich folgende iptables-Regeln eingerichtet:

ACCEPT     tcp  --  eee.fff.ggg.hhh      aaa.bbb.ccc.ddd     tcp dpt:80
DROP       tcp  --  0.0.0.0/0            aaa.bbb.ccc.ddd     tcp dpt:80

aaa.bbb.ccc.ddd ist die IP-Adresse meines Servers, und eee.fff.ggg.hhh ist der andere Server, der als einziger auf den Port zugreifen darf. Ich habe festgestellt, dass es auf meinem Server ein Setup für die inet6-Adresse gibt, und netstat zeigt an, dass apache2 die tcp6-Adresse abhört:

tcp6       0      0 :::80                   :::*                    LISTEN

Benötige ich eine separate iptables-Regel für die IPv6-Adresse? Wenn ja, wie kann ich das tun? Ich weiß nichts über IPv6. Vielen Dank! muss ich das tun Wenn ich ip6tables nicht verwende, umgeht jemand die iptable-Regel und stellt über die IPv6-Adresse eine Verbindung zu meinem: 80-Port her?

linux firewall iptables ipv6 Long Cheng
quelle

Antworten:

11

iptables filtert nur den IPv4-Verkehr. Das Einrichten von Regeln in iptables beeinträchtigt den IPv6-Verkehr nicht und daher sollten Sie IP6-Tabellen verwenden. Zumindest sollten Sie die Tabellenregeln auf default drop setzen. Auf diese Weise steht nur Verkehr zur Verfügung, den Sie ausdrücklich zugelassen haben.

TrueDuality
quelle
Es wäre schöner gewesen, einen Grund für den Ausfall anzugeben, wie Marcin es in einem Kommentar zu seiner Antwort getan hat. Immer noch +1.
0xC0000022L
@ 0xC0000022L Schließt du dein Haus ab, wenn du rausgehst?
Denys Vitali
Ähm @DenysVitali vielleicht ein kleines Missverständnis darin, dass es nicht das Gleiche ist, einen Rat zu missachten oder zu missbilligen, wenn man danach fragt ?!
0xC0000022L
5

Sie möchten sich ip6tables ansehen. HERE ist ein gutes kurzes Skript, das einige Grundlagen demonstrieren würde

Marcin
quelle
hmm..meine Frage ist, muss ich das tun? Wenn ich ip6tables nicht verwende, umgeht jemand die iptable-Regel und stellt über die IPv6-Adresse eine Verbindung zu meinem: 80-Port her?
Long Cheng
Haben Sie IPv6 standardmäßig aktiviert? Heutzutage sind viele Distributionen damit verbunden. Wenn ja, dann möchten Sie IPv6 definitiv explizit herausfiltern, da IPv6 eine Menge eingebauter Konnektivität hat, auch wenn Sie es nicht konfigurieren.
Marcin