web-dev-qa-db-fra.com

Dois-je également configurer d'autres règles iptables pour ipv6 si je viens d'utiliser iptables?

Disons que j’ai une configuration de pare-feu sur mon serveur Linux avec iptables afin que je n’accepte que le trafic des ports 22 et 80 et que je bloque l’accès à tous les autres ports.

Ces règles ne fonctionnent-elles que si l'ordinateur client utilise une adresse IPv4? Donc, si une adresse ipv6 est utilisée, le client peut accéder à des ports que je ne souhaite pas utiliser? (c.-à-d. ports autres que les ports 22 et 80)

20
user230779

iptables fonctionne pour IPv4, mais pas IPv6. ip6tables est le pare-feu IPv6 équivalent et est installé avec iptables.

Finalement, iptables est destiné aux connexions IPv4, ip6tables à des connexions IPv6. Si vous souhaitez que vos règles iptables s'appliquent également à IPv6, vous devez également les ajouter à ip6tables.


Si vous essayez de répliquer votre ensemble de règles iptables en ip6tables, toutes les règles que iptables peut effectuer ne seront pas parfaitement portées sur ip6tables, mais la plupart d'entre elles le seront.

Reportez-vous à la page de manuel de ip6tables si vous voulez vous assurer que les commandes que vous utilisez dans votre iptables seront correctement transférées.


Si vous le souhaitez, nous pouvons vous aider à créer des ensembles de règles ip6tables équivalents correspondant à vos règles iptables, si vous fournissez votre liste de règles de pare-feu (en supprimant toute information susceptible d'identifier le système de coruse). Sinon, nous ne pouvons que répondre à votre question générale.

20
Thomas Ward

Comme d’autres l’ont déjà dit, il existe différentes tables de pare-feu pour IPv4 et IPv6. Vous pouvez configurer des règles pour IPv6 comme pour IPv4, mais vous risquez de vous tromper si vous ne connaissez pas IPv6. Par exemple, vous ne pouvez pas supprimer ICMPpour IPv6, car il contient des éléments de négociation essentiels. C'est comme dire à l'expéditeur que les cadres sont trop volumineux, etc. Sans ces choses, IPv6 pourrait ne plus fonctionner pour certains utilisateurs.

Il est donc fortement recommandé d'utiliser ufwou le paquetage shorewall6 avec shorewallname__. iptablesfrontend ufwprend en charge les protocoles IPv4 et IPv6 et fonctionne parfaitement sur les serveurs à une ou deux interfaces, mais ne route pas le trafic (fonctionne comme un routeur ou une passerelle). Si vous acheminez le trafic, vous avez besoin de quelque chose de mieux, comme shorewallou vous ajoutez manuellement des règles de transfert avec iptableset ip6tables.

N'oubliez pas que vous pouvez avoir plusieurs adresses IPv6 sur vos interfaces. Certains ne sont que des liens locaux, d'autres sont globalement statiques et dynamiques. Vous devez donc configurer les règles en conséquence et les serveurs n’écoutant que les bonnes adresses.

3
Anders