LINUX.ORG.RU
ФорумAdmin

[Чайницкий вопрос]Настройка ip6tables


0

1

Хотелось бы не пропустить день тестирования IPv6. Но есть проблема: по IPv4 у меня компьютер подключён к домашней сети, и на нём открыт беспарольный доступ к личным файлам и тому подобные дела. Поэтому голой задницей в Интернет выпускать нельзя.
Собственно, как настроить ip6tables, чтобы защитить нужные данные? Сейчас у меня нет (и до 8 июня, видимо, не появится) возможности досканально ковырять весь ман. Поэтому просьба рассказать, как сделать следующее:
1) Заблокировать входящие соединения для всех портов, кроме названных.
2) Заблокировать входящие соединения только для названных портов, а остальные оставить открытыми.

Ну и вопрос по поводу сохранения этих настроек. Правильно ли я понимаю, что добавить в rc.local команду ip6tables-restore, натравленную на нужный файл, или же скрипт с командами, которыми я первый раз настраивал — наименее кривой способ?

☆☆☆☆☆

Гхрм... Я конечно сильно извиняюсь, но базовая настройка ip6tables практически ничем не отличается от iptables.

Вот к примеру мой конфиг: 

*filter
:INPUT DROP [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmpv6 -j ACCEPT
# accept everything from home network
-A INPUT -s 2001:470:xxxx:xxxx::/64 -j ACCEPT
# DSTU
-A INPUT -s 2001:470:xxxx:xxxx::2 -j ACCEPT
#
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

>Гхрм... Я конечно сильно извиняюсь, но базовая настройка ip6tables практически ничем не отличается от iptables.

Ну так iptables я тоже пока ещё не настраивал за ненадобностью.

Ttt ☆☆☆☆☆
() автор топика
Ответ на: комментарий от Ttt

Тебе нужно изменить политику по умолчанию для входящих пакетов: 

iptables -P INPUT DROP
А дальше открывай что нужно.

Насчет наименее кривого способа - можно и так. Но если ты будешь часто изменять правила, лучше найди (или напиши сам) init-скрипт, который будет уметь перечитывать все настройки, обнулять правила и т.д.

o
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin