LINUX.ORG.RU
ФорумAdmin

не отпрывается порт ip6tables

 


0

1

ip6tables -A INPUT -m state --state NEW -p udp --dport 53614 -j ACCEPT

гугл этим непомог:
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT

если таблы отключить то все конектится.



Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all      anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     ipv6-icmp    anywhere             anywhere
ACCEPT     all      anywhere             anywhere
ACCEPT     tcp      anywhere             anywhere             state NEW tcp dpt:ssh
ACCEPT     udp      anywhere             fe80::/64            udp dpt:dhcpv6-client state NEW
REJECT     all      anywhere             anywhere             reject-with icmp6-adm-prohibited
ACCEPT     udp      anywhere             anywhere             state NEW udp dpt:53614

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
REJECT     all      anywhere             anywhere             reject-with icmp6-adm-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


Важен порядок правил, у тебя reject all перед разрешающим правилом.

Khnazile ★★★★★
()

REJECT all anywhere anywhere

Тебя здесь ничего не смущает?

gremlin_the_red ★★★★★
()
Ответ на: комментарий от Regacar

Да ты не парься, сена пожуй, нормально все.

anonymous
()
Ответ на: комментарий от Regacar

да убрал режект и все ок

Ну, если тебе надо открыть полный бесконтрольный доступ к этому компу, то всё действительно ок.

а внизу какой таблицы?

Внизу той таблице, в которой ты хочешь фильтровать пакеты. Впрочем, если ты этот кусок где-то нагуглил и тебе не обязательно посылать специальный icmp6-ответ отправителю в случае фильтрации пакета, то достаточно -P INPUT REJECT

gremlin_the_red ★★★★★
()
Ответ на: комментарий от gremlin_the_red

-P INPUT REJECT

Ради вселенской справедливости -> -P INPUT DROP.

Потому что REJECT там ЕМНИП не поддерживается, только DROP/ACCEPT

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Потому что REJECT там ЕМНИП не поддерживается, только DROP/ACCEPT

В ip6tables? Поддерживается, разумеется. Опция по умолчанию - port-unreach. Но лично я в данной ситуации вообще не вижу смысла генерировать ICMP ответы всем, кто пытается стучаться куда не просят - DROP куда менее затратен.

Meyer ★★★★★
()
Ответ на: комментарий от Meyer

В ip6tables? Поддерживается, разумеется. Опция по умолчанию - port-unreach.

mini-router ~ # ip6tables -P INPUT REJECT
ip6tables: Bad policy name. Run `dmesg' for more information.
mini-router ~ # ip6tables -V
ip6tables v1.8.5 (legacy)

Это либо очень свежее изменение(потому что у меня как раз старая версия), либо я чего-то не понимаю...

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Судя по всему ядро собрано без CONFIG_NF_REJECT_IPV6. Ну или это собрано в виде модуля и он (nf_reject_ipv6) не прогрузился.

Meyer ★★★★★
()
Последнее исправление: Meyer (всего исправлений: 1)
Ответ на: комментарий от Meyer

Судя по всему ядро собрано без CONFIG_NF_REJECT_IPV6. Ну или это собрано в виде модуля и он (nf_reject_ipv6) не прогрузился.

Не угадал.

mini-router ~ # zcat /proc/config.gz | grep CONFIG_NF_REJECT_IPV6
CONFIG_NF_REJECT_IPV6=y

Так-то у меня в самом файрволе правила REJECT работают. Не ставится именно дефолтная политика.

Еще вариант как - возможно твоя версия iptables - это обертка из состава пакета nftables(там в выхлопе iptables -V не будет слова «legacy»). У меня как видишь - классический оригинальный iptables(хотя обертка из состава nftables вполне себе обратно-совместима, просто лень переходить)

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Не ставится именно дефолтная политика.

Ааа, ну тут да, багофича iptables. Но если хочется reject то можно добавить -A INPUT -j REJECT в конец.

Meyer ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin