UFWは発信ipv6 pingをブロックしません

UFWは発信ipv6 pingをブロックしません

特定のインターフェイスと特定のIP以外の発信接続をブロックするようにUFWを設定しようとしています。 IPV6 アドレスに Ping を送信し続けることを除いて、すべてが期待どおりに動作するようです。これらのアドレスをブロックしたいです。競合するルールがないので、私が何か間違っているのか、バグなのか、予想されているのかはわかりません。

tun0 インターフェイスを切断し、IPV4 ping が正常にブロックされたことを確認しました。

$ ping 192.30.255.113 # github.com
PING 192.30.255.113 (192.30.255.113) 56(84) bytes of data.
ping: sendmsg: Operation not permitted

IPV6アドレスを試しましたがブロックされていません。

ping 2001:41d0:701:1100::29c8 # ipv6-test.com
PING 2001:41d0:701:1100::29c8(2001:41d0:701:1100::29c8) 56 data bytes
64 bytes from 2001:41d0:701:1100::29c8: icmp_seq=1 ttl=42 time=181 ms
64 bytes from 2001:41d0:701:1100::29c8: icmp_seq=2 ttl=42 time=181 ms

これは私のUFW設定です。

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         LIMIT IN    Anywhere
Anywhere on tun0           ALLOW IN    Anywhere
22 (v6)                    LIMIT IN    Anywhere (v6)
Anywhere (v6) on tun0      ALLOW IN    Anywhere (v6)

Anywhere                   ALLOW OUT   Anywhere on tun0
1.2.3.4 1234               ALLOW OUT   Anywhere
Anywhere (v6)              ALLOW OUT   Anywhere (v6) on tun0

なぜそんなことですか?

答え1

結果によると、ip6tables-saveすべてのIPv6ポリシーはですACCEPT。さらに、ufw何もしない事前定義されたテーブルに加えて、実際に有効になっているIPv6ルールはありません。

必ず/etc/default/ufw含めてIPV6=yes実行してくださいsudo ufw reload


あなたのバグレポートに従い、エラーはありません。デフォルトのufw IPv6ポリシーには、ネットワーク上のすべてのホストのpingを許可するルールが含まれています(icmp6タイプ128)。

ドキュメントから:

UFWをオンにすると、デフォルトのルールセット(プロファイル)が使用されます。これは通常のホームユーザーに適しています。これは少なくともUbuntu開発者の目標です。つまり、「入ってくる」すべてが拒否されます。いくつかの例外一般ユーザーの作業を簡単にします。

DROP/REJECTおそらく、これらのルールを無効にしたり、着信/発信チェーンの最初のルールとしてターゲットを追加したりするために、いくつかのファイルを編集する必要があります。

確認してください:

https://wiki.ubuntu.com/UncomplicatedFirewall#Advanced_Functionality

https://help.ubuntu.com/community/UFW#Working_with_numbered_rules

関連情報