Digamos que tengo una configuración de firewall en mi servidor Linux con iptables, de modo que solo acepto el tráfico del puerto 22 y del puerto 80 y bloqueo el acceso a todos los demás puertos.
¿Estas reglas solo funcionan si la máquina cliente está usando una dirección IPv4? Entonces, si se usa una dirección ipv6, ¿el cliente puede acceder a los puertos que no quiero? (es decir, puertos que no sean el puerto 22 y el puerto 80)
Respuestas:
iptablesfunciona para IPv4, pero no para IPv6.ip6tableses el firewall equivalente de IPv6 y se instala coniptables.Sin embargo, en última instancia,
iptableses para conexiones IPv4,ip6tableses para conexiones IPv6. Si desea que susiptablesreglas también se apliquen a IPv6, también debe agregarlasip6tables.Si intenta replicar su
iptablesconjunto de reglasip6tables, no todas las reglas que seiptablespueden hacer se transferirán de manera claraip6tables, pero la mayoría de ellas lo harán.Consulte la página de manual para
ip6tablessaber si desea asegurarse de que los comandos que usa en suiptablespuerto se transfieren perfectamente.Si lo desea, podemos ayudarlo a crear
ip6tablesconjuntos de reglas equivalentes para que coincidan con susiptablesreglas, si proporciona su lista de reglas de firewall (eliminando cualquier información que pueda identificar el sistema de coruse). De lo contrario, solo podemos responder a su pregunta general.fuente
ufwexisten otros administradores de firewall, agregan las reglas a ambos, en consecuencia. Sin embargo, el problema que tenemos aquí no es "¿Puede alguien con IPv6 ver mi sitio?" El mayor problema es si su sistema tiene direcciones IPv6. La mayoría de las conexiones tienen IPv4 e IPv6 desde computadoras cliente como la mía. Pero si el servidor remoto no tiene IPv6 que sea público, entonces el IPv4 está conectado. Sin embargo, según tengo entendido, si tiene IPv6, también debe agregar las reglasip6tables.iptablesANDip6tables, y las reglas generales como-p tcp --dportseguirán funcionando, pero las reglas más complejas podrían no ... (como-j REJECT --reject-with [something])-j REJECT --reject-with icmp-host-prohibitedpor ejemplo, porque el paquete de rechazo es un nombre diferente en IPv6)Como otros ya te han dicho, hay diferentes tablas de firewall para IPv4 e IPv6. Puede configurar reglas para IPv6 como para IPv4, pero existe un gran riesgo de que lo estropee si no conoce IPv6. Por
ICMPejemplo, no puede utilizar IPv6, ya que hay partes esenciales de protocolo de enlace. Como decirle al remitente que los marcos son demasiado grandes, etc. Sin esas cosas, IPv6 podría dejar de funcionar para algunos usuarios.Por lo tanto, recomendaría encarecidamente el uso
ufwo el paqueteshorewall6junto conshorewall. Laiptablesinterfazufwadmite IPv4 e IPv6 y funciona muy bien en servidores con una o dos interfaces, pero no enruta el tráfico (funciona como enrutador o puerta de enlace). Si enruta el tráfico, necesita algo mejor, comoshorewallagregar o agregar manualmente algunas reglas para reenviar coniptablesyip6tables.No olvide que puede tener más de una dirección IPv6 en sus interfaces. Algunos son solo enlaces locales, algunos son globalmente estáticos y dinámicos. Por lo tanto, debe configurar las reglas en consecuencia y los servidores solo escucharán en las direcciones correctas.
fuente