ip6tables的基本配置

2021/10/24 18:24:39      点击:

国家正在全力推广IPV6,虽然目前国内IPV6还不普遍,很多云主机商的机器,都不支持IPV6,有支持的,都还额外收费,所以用不到的,暂时不用去折腾,而在国外IPV6都是免费的,很多都是送三五个十个八个IP6的地址。但是使用IPV6也可能带来更多的攻击,所以有必须配置防火墙,仅仅开放必要的端口,防止利用IPV6入侵了机器。

一般情况下,我们仅仅允许邮件25端口,以及网站的80,443端口就可以了,其它用不到的端口,尽量不要开放,端口开放的越多,风险就越大。IP6TABLES的基本配置如下,基本都是通用的规则,大体的格式如下。

配置/etc/sysconfig/ip6tables

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited
COMMIT
保存以后复制一份另存为ip6tables.save然后启动IP6以及设置开机启动

systemctl enable ip6tables.service
systemctl start ip6tables.service

这样你的IPV6的防火墙就设置完成了,你可以用ip6tables -L -n查看加载的规则。也可以以下更精简的方式

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT