Debian ip6tables управляет установкой для IPv6

Мне удалось без проблем перезагрузить ваш ip6tables-dump. Я предлагаю вам сначала попробовать создать свой брандмауэр с помощью команды ip6tables, а затем сбросить его. отладка может быть намного проще.

вы можете начать с чистого листа - firewall.sh, который выглядит следующим образом:

#!/bin/bash
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP

ip6tables -F

ip6tables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ip6tables -A INPUT  -m state --state RELATED,ESTABLISHED -j ACCEPT

будьте осторожны - это предотвратит любой обмен данными по ipv6. надеюсь, у вас есть канал связи console / out of band / ipv4. если нет, добавьте хотя бы:

ip6tables -A INPUT  -p tcp --dport 22 -j ACCEPT

после того, как вы довольны скриптом брандмауэра, вы можете запустить ip6tables-save> your.rules .

Не знаю, откуда у вас эта мерзость, но лучшее, что вы можете сделать, - это удалить ее и начать с нуля. Его основная проблема заключается в том, что он излишне сложен и труден для понимания, даже если он может работать (и я не уверен, читая его, поэтому я определенно не собираюсь его тестировать).

Брандмауэры должны быть такими же простыми по возможности: принимайте только то, что вам нужно, и отвергайте все остальное. Следуйте этому, и вам не понадобятся никакие сложные и трудные для понимания правила.

Итак, давайте взглянем на работающий брандмауэр IPv6 iptables. Я только что сделал это с одного из моих действующих серверов:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

Мы установили политики по умолчанию для таблиц на ACCEPT; трафик будет фактически отброшен правилами в каждой таблице. Это дает нам больше гибкости. В частности, для таблицы OUTPUT всегда должна быть установлена ​​политика по умолчанию ACCEPT, если только вы не собираетесь блокировать исходящие соединения.

-A INPUT -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A FORWARD -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A OUTPUT -m rt --rt-type 0 --rt-segsleft 0 -j DROP

Это устраняет проблему безопасности IPv6 Routing Header Type 0 . Он должен стоять перед любыми другими правилами. (Обратите внимание, что современные ядра, начиная с 2.6.21.1 , автоматически отбрасывают этот трафик и не нуждаются в этих правилах. Если у вас предыдущее ядро, обратитесь к поставщику вашего дистрибутива за патчем для CVE-2007-2242 .) Явные правила для RH0 давно устарели и больше не нужны в современных системах Linux.

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Он принимает текущий трафик для любых существующих подключений, которые мы уже приняли с помощью других правил.

-A INPUT -p ipv6-icmp -j ACCEPT

Мы принимаем все пакеты ICMP. В отличие от IPv4, не рекомендуется блокировать трафик ICMPv6, поскольку IPv6 в гораздо большей степени зависит от него.

-A INPUT -i lo -j ACCEPT

Мы принимаем весь трафик от / к локальному интерфейсу.

-A INPUT -m state --state NEW -m udp -p udp --dport 546 -d fe80::/64 -j ACCEPT

Мы принимаем трафик DHCPv6. Если вы используете автоконфигурацию без сохранения состояния или статически настраиваете свои машины, в этом нет необходимости.

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

Они принимают новые соединения для ssh и http.

-A INPUT -j REJECT --reject-with icmp6-port-unreachable
-A FORWARD -j REJECT --reject-with icmp6-port-unreachable

В конце наших правил мы отклоняем весь трафик, который не соответствует правилу , используя "порт недоступен". Это приводит к стандартному сообщению «Соединение отклонено» на другом конце и эффективно скрывает тот факт, что у нас есть брандмауэр. Такие инструменты, как nmap сообщают, что все наши порты «закрыты», а не «отфильтрованы», и им гораздо труднее определить, есть ли у нас даже брандмауэр.

COMMIT

Это фиксирует все записи таблицы.

Если вы используете автоконфигурацию без сохранения состояния или статически настраиваете свои машины, в этом нет необходимости.

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

Они принимают новые соединения для ssh и http.

-A INPUT -j REJECT --reject-with icmp6-port-unreachable
-A FORWARD -j REJECT --reject-with icmp6-port-unreachable

В конце наших правил мы отклоняем весь трафик, который не соответствует правилу , используя "порт недоступен". Это приводит к стандартному сообщению «Соединение отклонено» на другом конце и эффективно скрывает тот факт, что у нас есть брандмауэр. Такие инструменты, как nmap сообщают, что все наши порты «закрыты», а не «отфильтрованы», и им гораздо труднее определить, есть ли у нас даже брандмауэр.

COMMIT

Это фиксирует все записи таблицы.

Если вы используете автоконфигурацию без сохранения состояния или статически настраиваете свои машины, в этом нет необходимости.

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

Они принимают новые соединения для ssh и http.

-A INPUT -j REJECT --reject-with icmp6-port-unreachable
-A FORWARD -j REJECT --reject-with icmp6-port-unreachable

В конце наших правил мы отклоняем весь трафик, который не соответствует правилу , используя "порт недоступен". Это приводит к стандартному сообщению «Соединение отклонено» на другом конце и эффективно скрывает тот факт, что у нас есть брандмауэр. Такие инструменты, как nmap сообщают, что все наши порты «закрыты», а не «отфильтрованы», и им гораздо труднее определить, есть ли у нас даже брандмауэр.

COMMIT

Это фиксирует все записи таблицы.

мы отклоняем весь трафик, который не соответствует правилу, используя «порт недоступен». Это приводит к стандартному сообщению «Соединение отклонено» на другом конце и эффективно скрывает тот факт, что у нас есть брандмауэр. Такие инструменты, как nmap сообщают, что все наши порты «закрыты», а не «отфильтрованы», и им гораздо труднее определить, есть ли у нас даже брандмауэр.

COMMIT

Это фиксирует все записи таблицы.

мы отклоняем весь трафик, который не соответствует правилу, используя «порт недоступен». Это приводит к стандартному сообщению «Соединение отклонено» на другом конце и эффективно скрывает тот факт, что у нас есть брандмауэр. Такие инструменты, как nmap сообщают, что все наши порты «закрыты», а не «отфильтрованы», и им гораздо труднее определить, есть ли у нас даже брандмауэр.

COMMIT

Это фиксирует все записи таблицы.

У меня была такая же проблема с ошибкой фиксации. Я использую Debian Wheezy, но подозреваю, что проблема та же. Похоже, что базовая установка Debian (по крайней мере, та, которую я использую) не поддерживает отслеживание соединений для ipv6. Это приводит к сбою строк, которые пытаются отслеживать состояние соединения ( -m state ... ), хотя ip6tables-restore, к сожалению, недостаточно любезен, чтобы сообщить вам об этом. Хорошая новость заключается в том, что эту проблему можно решить без особых проблем:

# apt-get install conntrack
# reboot

Я уверен, что перезагрузку можно обойти, но я не уверен, какую службу нужно перезапустить, чтобы это работало, поэтому я просто перезапускаю торговый центр. После этого наборы правил, подобные тем, которые опубликованы здесь, которые используют отслеживание соединений с отслеживанием состояния, похоже, работают нормально.