¿También necesito configurar otras reglas de iptables para ipv6 si acabo de usar iptables?

21

Digamos que tengo una configuración de firewall en mi servidor Linux con iptables, de modo que solo acepto el tráfico del puerto 22 y del puerto 80 y bloqueo el acceso a todos los demás puertos.

¿Estas reglas solo funcionan si la máquina cliente está usando una dirección IPv4? Entonces, si se usa una dirección ipv6, ¿el cliente puede acceder a los puertos que no quiero? (es decir, puertos que no sean el puerto 22 y el puerto 80)

user230779
fuente
No ha marcado ninguna de las respuestas como útiles. Debes hacer eso. ;-)
Anders

Respuestas:

21

iptablesfunciona para IPv4, pero no para IPv6. ip6tableses el firewall equivalente de IPv6 y se instala con iptables.

Sin embargo, en última instancia, iptableses para conexiones IPv4, ip6tableses para conexiones IPv6. Si desea que sus iptablesreglas también se apliquen a IPv6, también debe agregarlas ip6tables.


Si intenta replicar su iptablesconjunto de reglas ip6tables, no todas las reglas que se iptablespueden hacer se transferirán de manera clara ip6tables, pero la mayoría de ellas lo harán.

Consulte la página de manual paraip6tables saber si desea asegurarse de que los comandos que usa en su iptablespuerto se transfieren perfectamente.


Si lo desea, podemos ayudarlo a crear ip6tablesconjuntos de reglas equivalentes para que coincidan con sus iptablesreglas, si proporciona su lista de reglas de firewall (eliminando cualquier información que pueda identificar el sistema de coruse). De lo contrario, solo podemos responder a su pregunta general.

Thomas Ward
fuente
10
¿No es este tipo de ridículo entonces? Para aclarar, ¿ahora todos mis puertos en el servidor están abiertos para cualquiera que se conecte con una dirección IPv6?
user230779
3
@ user230779 Estoy de acuerdo en que es "ridículo", pero esta es la razón por la que ufwexisten otros administradores de firewall, agregan las reglas a ambos, en consecuencia. Sin embargo, el problema que tenemos aquí no es "¿Puede alguien con IPv6 ver mi sitio?" El mayor problema es si su sistema tiene direcciones IPv6. La mayoría de las conexiones tienen IPv4 e IPv6 desde computadoras cliente como la mía. Pero si el servidor remoto no tiene IPv6 que sea público, entonces el IPv4 está conectado. Sin embargo, según tengo entendido, si tiene IPv6, también debe agregar las reglas ip6tables.
Thomas Ward
1
@ user230779 Podría crear un script que ejecute el mismo comando para iptablesAND ip6tables, y las reglas generales como -p tcp --dportseguirán funcionando, pero las reglas más complejas podrían no ... (como -j REJECT --reject-with [something])
Thomas Ward
Thomas, ¿puedes vincularme a un ejemplo seguro de ip6tables para un servidor web apache?
user230779
1
@Braiam nunca dijo nada sobre las banderas. Algunos de los comandos no funcionarán ( -j REJECT --reject-with icmp-host-prohibitedpor ejemplo, porque el paquete de rechazo es un nombre diferente en IPv6)
Thomas Ward
3

Como otros ya te han dicho, hay diferentes tablas de firewall para IPv4 e IPv6. Puede configurar reglas para IPv6 como para IPv4, pero existe un gran riesgo de que lo estropee si no conoce IPv6. Por ICMPejemplo, no puede utilizar IPv6, ya que hay partes esenciales de protocolo de enlace. Como decirle al remitente que los marcos son demasiado grandes, etc. Sin esas cosas, IPv6 podría dejar de funcionar para algunos usuarios.

Por lo tanto, recomendaría encarecidamente el uso ufwo el paquete shorewall6junto con shorewall. La iptablesinterfaz ufwadmite IPv4 e IPv6 y funciona muy bien en servidores con una o dos interfaces, pero no enruta el tráfico (funciona como enrutador o puerta de enlace). Si enruta el tráfico, necesita algo mejor, como shorewallagregar o agregar manualmente algunas reglas para reenviar con iptablesy ip6tables.

No olvide que puede tener más de una dirección IPv6 en sus interfaces. Algunos son solo enlaces locales, algunos son globalmente estáticos y dinámicos. Por lo tanto, debe configurar las reglas en consecuencia y los servidores solo escucharán en las direcciones correctas.

Anders
fuente