Digamos que tengo una configuración de firewall en mi servidor Linux con iptables, de modo que solo acepto el tráfico del puerto 22 y del puerto 80 y bloqueo el acceso a todos los demás puertos.
¿Estas reglas solo funcionan si la máquina cliente está usando una dirección IPv4? Entonces, si se usa una dirección ipv6, ¿el cliente puede acceder a los puertos que no quiero? (es decir, puertos que no sean el puerto 22 y el puerto 80)
Respuestas:
iptables
funciona para IPv4, pero no para IPv6.ip6tables
es el firewall equivalente de IPv6 y se instala coniptables
.Sin embargo, en última instancia,
iptables
es para conexiones IPv4,ip6tables
es para conexiones IPv6. Si desea que susiptables
reglas también se apliquen a IPv6, también debe agregarlasip6tables
.Si intenta replicar su
iptables
conjunto de reglasip6tables
, no todas las reglas que seiptables
pueden hacer se transferirán de manera claraip6tables
, pero la mayoría de ellas lo harán.Consulte la página de manual para
ip6tables
saber si desea asegurarse de que los comandos que usa en suiptables
puerto se transfieren perfectamente.Si lo desea, podemos ayudarlo a crear
ip6tables
conjuntos de reglas equivalentes para que coincidan con susiptables
reglas, si proporciona su lista de reglas de firewall (eliminando cualquier información que pueda identificar el sistema de coruse). De lo contrario, solo podemos responder a su pregunta general.fuente
ufw
existen otros administradores de firewall, agregan las reglas a ambos, en consecuencia. Sin embargo, el problema que tenemos aquí no es "¿Puede alguien con IPv6 ver mi sitio?" El mayor problema es si su sistema tiene direcciones IPv6. La mayoría de las conexiones tienen IPv4 e IPv6 desde computadoras cliente como la mía. Pero si el servidor remoto no tiene IPv6 que sea público, entonces el IPv4 está conectado. Sin embargo, según tengo entendido, si tiene IPv6, también debe agregar las reglasip6tables
.iptables
ANDip6tables
, y las reglas generales como-p tcp --dport
seguirán funcionando, pero las reglas más complejas podrían no ... (como-j REJECT --reject-with [something]
)-j REJECT --reject-with icmp-host-prohibited
por ejemplo, porque el paquete de rechazo es un nombre diferente en IPv6)Como otros ya te han dicho, hay diferentes tablas de firewall para IPv4 e IPv6. Puede configurar reglas para IPv6 como para IPv4, pero existe un gran riesgo de que lo estropee si no conoce IPv6. Por
ICMP
ejemplo, no puede utilizar IPv6, ya que hay partes esenciales de protocolo de enlace. Como decirle al remitente que los marcos son demasiado grandes, etc. Sin esas cosas, IPv6 podría dejar de funcionar para algunos usuarios.Por lo tanto, recomendaría encarecidamente el uso
ufw
o el paqueteshorewall6
junto conshorewall
. Laiptables
interfazufw
admite IPv4 e IPv6 y funciona muy bien en servidores con una o dos interfaces, pero no enruta el tráfico (funciona como enrutador o puerta de enlace). Si enruta el tráfico, necesita algo mejor, comoshorewall
agregar o agregar manualmente algunas reglas para reenviar coniptables
yip6tables
.No olvide que puede tener más de una dirección IPv6 en sus interfaces. Algunos son solo enlaces locales, algunos son globalmente estáticos y dinámicos. Por lo tanto, debe configurar las reglas en consecuencia y los servidores solo escucharán en las direcciones correctas.
fuente