На CentOS 6 ip6tables буквально дает кошмар на этой машине.
Наличие
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
с
ip6tables -A INPUT -p tcp -m multiport ! --dports 21,22,80,443 -j DROP
ip6tables -A INPUT -p udp -m multiport ! --dports 21,22,80,443 -j DROP
ip6tables -A INPUT ! -p ipv6-icmp -j DROP
ip6tables -A OUTPUT -p tcp -m multiport ! --dports 21,22,80,443 -j DROP
ip6tables -A OUTPUT -p udp -m multiport ! --dports 21,22,80,443 -j DROP
ip6tables -A OUTPUT ! -p ipv6-icmp -j DROP
или наличие вершина и инвертированная нижняя часть, все еще не помогает.
IP6tables или блок все порты, или позволяет все в/. Я сбросил ip6tables, чтобы гарантировать, что никакие правила там прежде не помещают эти правила.
Все, что требуется, должно позволить весь трафик и отклонять несколько портов для в / для обоих tcp/udp
Порты выше являются демонстрационной целью только.
Спасибо.
Править: достигнутый лучшая стадия, все же не работающая с инверсиями
ip6tables -F
ip6tables -X
ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -I FORWARD -j DROP --protocol tcp -m multiport --dports 22,80,443
Вы сделали это:
# Drops all incoming TCP that's not directed to these ports,
# Preventing also answers for locally initiated connections!
ip6tables -A INPUT -p tcp -m multiport ! --dports 21,22,80,443 -j DROP
# Drops all incoming UDP that's not directed to these ports,
# Preventing also answers for locally initiated connections!
ip6tables -A INPUT -p udp -m multiport ! --dports 21,22,80,443 -j DROP
# Drop everything that's not icmp6, including UDP and TCP traffic
# that was allowed to pass earlier, making them obsolete.
ip6tables -A INPUT ! -p ipv6-icmp -j DROP
(повторите для ВЫХОД
)
Обычно вы ПРИНИМАЕТЕ
все, что хотите разрешить, и тогда вы отбрасываете.
ip6tables -P INPUT DROP
ip6tables -A INPUT -p tcp -m multiport --dports 21,22,80,443 -j ACCEPT
ip6tables -A INPUT -p udp -m multiport --dports 21,22,80,443 -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
Я бы не стал фильтровать исходящий трафик, если у вас нет для этого уважительной причины.