特定のインターフェイスと特定のIP以外の発信接続をブロックするようにUFWを設定しようとしています。 IPV6 アドレスに Ping を送信し続けることを除いて、すべてが期待どおりに動作するようです。これらのアドレスをブロックしたいです。競合するルールがないので、私が何か間違っているのか、バグなのか、予想されているのかはわかりません。
tun0 インターフェイスを切断し、IPV4 ping が正常にブロックされたことを確認しました。
$ ping 192.30.255.113 # github.com
PING 192.30.255.113 (192.30.255.113) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
IPV6アドレスを試しましたがブロックされていません。
ping 2001:41d0:701:1100::29c8 # ipv6-test.com
PING 2001:41d0:701:1100::29c8(2001:41d0:701:1100::29c8) 56 data bytes
64 bytes from 2001:41d0:701:1100::29c8: icmp_seq=1 ttl=42 time=181 ms
64 bytes from 2001:41d0:701:1100::29c8: icmp_seq=2 ttl=42 time=181 ms
これは私のUFW設定です。
$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22 LIMIT IN Anywhere
Anywhere on tun0 ALLOW IN Anywhere
22 (v6) LIMIT IN Anywhere (v6)
Anywhere (v6) on tun0 ALLOW IN Anywhere (v6)
Anywhere ALLOW OUT Anywhere on tun0
1.2.3.4 1234 ALLOW OUT Anywhere
Anywhere (v6) ALLOW OUT Anywhere (v6) on tun0
なぜそんなことですか?
答え1
結果によると、ip6tables-save
すべてのIPv6ポリシーはですACCEPT
。さらに、ufw
何もしない事前定義されたテーブルに加えて、実際に有効になっているIPv6ルールはありません。
必ず/etc/default/ufw
含めてIPV6=yes
実行してくださいsudo ufw reload
。
あなたのバグレポートに従い、エラーはありません。デフォルトのufw IPv6ポリシーには、ネットワーク上のすべてのホストのpingを許可するルールが含まれています(icmp6タイプ128)。
ドキュメントから:
UFWをオンにすると、デフォルトのルールセット(プロファイル)が使用されます。これは通常のホームユーザーに適しています。これは少なくともUbuntu開発者の目標です。つまり、「入ってくる」すべてが拒否されます。いくつかの例外一般ユーザーの作業を簡単にします。
DROP/REJECT
おそらく、これらのルールを無効にしたり、着信/発信チェーンの最初のルールとしてターゲットを追加したりするために、いくつかのファイルを編集する必要があります。
確認してください:
https://wiki.ubuntu.com/UncomplicatedFirewall#Advanced_Functionality
https://help.ubuntu.com/community/UFW#Working_with_numbered_rules