अगर मुझे सिर्फ iptables का उपयोग करना है, तो क्या मुझे ipv6 के लिए एक और iptables नियम स्थापित करने की आवश्यकता है?


21

मान लें कि मेरे पास अपने linux सर्वर पर iptables के साथ फ़ायरवॉल सेटअप है ताकि मैं केवल पोर्ट 22 और पोर्ट 80 ट्रैफ़िक स्वीकार कर लूँ और मैं अन्य सभी पोर्ट्स तक पहुँच को ब्लॉक कर दूं।

क्या ये नियम केवल तभी काम करते हैं जब क्लाइंट मशीन IPv4 पते का उपयोग कर रही हो? तो अगर एक ipv6 पते का उपयोग किया जाता है, तो ग्राहक उन बंदरगाहों तक पहुंच सकता है जो मैं उन्हें नहीं चाहता हूं? (यानी पोर्ट 22 और पोर्ट 80 के अलावा अन्य पोर्ट)


आपने किसी भी उत्तर को उपयोगी नहीं माना है। तुम्हें वह करना चाहिए। ;-)
एंडर्स

जवाबों:


21

iptablesIPv4 के लिए काम करता है, लेकिन IPv6 के लिए नहीं। ip6tablesसमान IPv6 फ़ायरवॉल है, और के साथ स्थापित किया गया है iptables

अंततः, हालांकि, iptablesIPv4 कनेक्शन के ip6tablesलिए है, IPv6 कनेक्शन के लिए है। यदि आप चाहते हैं कि आपके iptablesनियम IPv6 पर भी लागू हों, तो आपको उन्हें भी जोड़ना होगा ip6tables


यदि आप अपने iptablesनियमों को पूरा करने का प्रयास करते हैं और ip6tablesनहीं करते हैं, तो सभी नियम जो iptablesबड़े करीने से पोर्ट कर सकते हैंip6tables , लेकिन उनमें से अधिकांश करेंगे।

यदि आप अपने द्वारा उपयोग किए जाने वाले आदेशों को बड़े करीने से पोर्ट करना चाहते हैं, तो सुनिश्चित करें कि आप मेन्यूip6tables देखें iptables


यदि आप चाहें, तो हम ip6tablesआपके iptablesनियमों से मेल खाने के लिए समतुल्य नियम बनाने में आपकी मदद कर सकते हैं , यदि आप अपनी फ़ायरवॉल नियम सूची प्रदान करते हैं (ऐसी किसी भी जानकारी को हटाने से जो कि coruse की प्रणाली की पहचान कर सकती है)। अन्यथा, हम केवल आपके सामान्य प्रश्न का उत्तर दे सकते हैं।


10
क्या इस तरह से हास्यास्पद नहीं है? स्पष्ट करने के लिए, अभी सर्वर पर मेरे सभी पोर्ट किसी भी व्यक्ति के लिए खुले हैं जो IPv6 पते से जुड़ता है?
user230779

3
@ user230779 मैं मानता हूं कि यह "हास्यास्पद" है, लेकिन यही कारण है कि ufwऔर अन्य फ़ायरवॉल प्रबंधक मौजूद हैं, वे नियमों को खुद दोनों को जोड़ते हैं, तदनुसार। हालांकि, यहाँ मुद्दा "IPv6 के साथ कोई भी मेरी साइट नहीं देख सकता है?" बड़ा मुद्दा यह है कि क्या आपके सिस्टम में IPv6 पते हैं। अधिकांश कनेक्शनों में क्लाइंट कंप्यूटरों की तरह IPv4 और IPv6 हैं। लेकिन अगर रिमोट सर्वर में कोई IPv6 नहीं है जो सार्वजनिक रूप से सामना कर रहा है, तो IPv4 जुड़ा हुआ है। जैसा कि मैं इसे समझता हूं, हालांकि, अगर आपके पास आईपीवी 6 है तो आपको नियमों को भी जोड़ना चाहिए ip6tables
थॉमस वार्ड

1
@ user230779 मैं एक स्क्रिप्ट है कि के लिए एक ही आदेश पर अमल होता बना सकते हैं iptablesऔर ip6tables, और सामान्य नियम की तरह -p tcp --dportअभी भी काम करेगा, लेकिन और अधिक जटिल नियम हो सकता है नहीं ... (तरह -j REJECT --reject-with [something])
थॉमस वार्ड

थॉमस क्या आप मुझे अपाचे वेबसर्वर के लिए एक सुरक्षित ip6tables उदाहरण से जोड़ सकते हैं?
232 बजे user230779

1
@ ब्रियाम ने कभी भी झंडे के बारे में कुछ नहीं कहा। आदेशों में से कुछ काम नहीं करेगा ( -j REJECT --reject-with icmp-host-prohibitedउदाहरण के लिए, क्योंकि अस्वीकार पैकेट आईपीवी 6 में एक अलग नाम है)
थॉमस वार्ड

3

जैसा कि दूसरों ने आपको पहले ही बताया है, IPv4 और IPv6 के लिए अलग-अलग फ़ायरवॉल टेबल हैं। आप IPv4 के लिए IPv6 की तरह नियम स्थापित कर सकते हैं, लेकिन एक बहुत बड़ा जोखिम है कि यदि आप IPv6 नहीं जानते हैं तो आप इसे गड़बड़ कर देंगे। जैसे, आप ICMPIPv6 के लिए ड्रॉप नहीं कर सकते , क्योंकि वहां जरूरी हैंडशेक पार्ट्स हैं। प्रेषक को यह बताना कि फ्रेम बड़े हैं, आदि उन चीजों के बिना, IPv6 कुछ उपयोगकर्ताओं के लिए काम करना बंद कर सकता है।

तो यह दृढ़ता से के उपयोग की सलाह देते हैं ufwया पैकेज shorewall6के साथ एक साथ shorewalliptablesदृश्यपटल ufwका समर्थन करता है दोनों IPv4 और IPv6 और एक या दो इंटरफेस के साथ सर्वर पर अच्छा काम करता है, लेकिन मार्ग यातायात (काम एक रूटर या गेटवे के रूप में) नहीं करता है। यदि आप ट्रैफ़िक को रूट करते हैं, तो आपको कुछ बेहतर चाहिए, जैसे shorewallया मैन्युअल रूप से iptablesऔर साथ अग्रेषित करने के लिए कुछ नियम जोड़ें ip6tables

मत भूलो कि आपके इंटरफेस पर एक से अधिक IPv6 पते हो सकते हैं। कुछ केवल लिंक स्थानीय हैं, कुछ विश्व स्तर पर स्थिर और गतिशील हैं। इसलिए आपको अपने हिसाब से नियम बनाने चाहिए और सर्वर सही पते पर ही सुनेंगे।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.