Вопросы Теги

отбрасывание порта ip6tables и значения по умолчанию

На CentOS 6 ip6tables буквально дает кошмар на этой машине.

Наличие 

ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT

с

ip6tables -A INPUT -p tcp -m multiport ! --dports 21,22,80,443 -j DROP
ip6tables -A INPUT -p udp -m multiport ! --dports 21,22,80,443 -j DROP
ip6tables -A INPUT ! -p ipv6-icmp -j DROP
ip6tables -A OUTPUT -p tcp -m multiport ! --dports 21,22,80,443 -j DROP
ip6tables -A OUTPUT -p udp -m multiport ! --dports 21,22,80,443 -j DROP
ip6tables -A OUTPUT ! -p ipv6-icmp -j DROP

или наличие вершина и инвертированная нижняя часть, все еще не помогает.

IP6tables или блок все порты, или позволяет все в/. Я сбросил ip6tables, чтобы гарантировать, что никакие правила там прежде не помещают эти правила.

Все, что требуется, должно позволить весь трафик и отклонять несколько портов для в / для обоих tcp/udp

Порты выше являются демонстрационной целью только.

Спасибо.

Править: достигнутый лучшая стадия, все же не работающая с инверсиями 

ip6tables -F
ip6tables -X
ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -I FORWARD -j DROP --protocol tcp -m multiport --dports 22,80,443
0
задан 12 August 2016 в 20:30
1 ответ

Вы сделали это: 

# Drops all incoming TCP that's not directed to these ports,
# Preventing also answers for locally initiated connections!
ip6tables -A INPUT -p tcp -m multiport ! --dports 21,22,80,443 -j DROP
# Drops all incoming UDP that's not directed to these ports,
# Preventing also answers for locally initiated connections!
ip6tables -A INPUT -p udp -m multiport ! --dports 21,22,80,443 -j DROP
# Drop everything that's not icmp6, including UDP and TCP traffic
# that was allowed to pass earlier, making them obsolete.
ip6tables -A INPUT ! -p ipv6-icmp -j DROP

(повторите для ВЫХОД )

Обычно вы ПРИНИМАЕТЕ все, что хотите разрешить, и тогда вы отбрасываете. 

ip6tables -P INPUT DROP
ip6tables -A INPUT -p tcp -m multiport --dports 21,22,80,443 -j ACCEPT
ip6tables -A INPUT -p udp -m multiport --dports 21,22,80,443 -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT

Я бы не стал фильтровать исходящий трафик, если у вас нет для этого уважительной причины.

1
ответ дан 4 December 2019 в 16:52

Теги

Похожие вопросы