ip6tables

ip6tablesから「icmp」プロトコルにどのようにアクセスしますか?
ip6tables

ip6tablesから「icmp」プロトコルにどのようにアクセスしますか?

このip6tablesコマンドは以下を受け入れてicmp同意icmpv6します。 $ sudo ip6tables -A INPUT -p icmp -j ACCEPT $ sudo ip6tables -A INPUT -p ipv6-icmp -j ACCEPT ただし、ping次のコマンドを使用してテストする場合: $ ping6 fe80::a00:1234:1234:1234%eth1 私は決してicmp次の規則に従わない。 Chain INPUT (policy ACCEPT 133 packets, 13501 bytes) pkt...

Admin

ip6tables ログ内のフィールドの意味
ip6tables

ip6tables ログ内のフィールドの意味

私はufwログを分析していて、私が見つけることがip6tablesできたことを発見しましたufw。 とても良いブログ投稿です。iptables形式はよく説明されていますが、AFAIUはIPv6に固有のいくつかのフィールドを見つけることができませんでした。 以下はサンプル項目です。 May 13 11:35:12 servername kernel: [ 4113.240744] [UFW BLOCK] IN=eth0 OUT= MAC=nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn SRC=nnnn:nnnn:nnnn:n...

Admin

I6ptablesルールはDockerコンテナアクセスインターフェイスをブロックします。
ip6tables

I6ptablesルールはDockerコンテナアクセスインターフェイスをブロックします。

コンテキスト: 複数のドッカーコンテナがすべてのインターフェイスを受信します。 wg0IPv6 アドレスを使用した wireguard インターフェイス 最終的に、NFSはwg0クライアントにファイルサービスを提供します。 質問: 後でクライアントはwg0これらのコンテナにアクセスできます。私はこれを避け、このインターフェイスの背後にあるホストにアクセスするドッカーコンテナを避けたいと思います。 これをフィルタリングする最も簡単な方法は、DockerコンテナとWireguardインターフェイスの間でパケットをドロップすることです。ただし、次のルールは機能...

Admin

DHCP6が機能するためにip6tablesルールが必要なのはなぜですか? (逆にIPv4は何も必要ありません)
ip6tables

DHCP6が機能するためにip6tablesルールが必要なのはなぜですか? (逆にIPv4は何も必要ありません)

DHCP6にip6tablesルールが必要なのはなぜですか? (逆にIPv4では必要ありません。) これは私が書いた最小限のIPv4ルールです。特別なDHCPv4(ウィキペディア) ルール: IPv4:iptables --list-rules INPUT -P INPUT DROP -A INPUT -i lo -m comment --comment loopback -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment traffic4 -...

Admin

iptablesをip6tablesに
ip6tables

iptablesをip6tablesに

iptablesルールをip6tablesルールに変換するには?エラーアドレスが表示されます。 iptables -A OUTPUT -p tcp -j ALLOW iptables -t nat -A PREROUTING -d 192.168.0.0/24 -i eth0 -j DNAT --to 192.168.255.255/24 iptables -t nat -A PREROUTING -d 10.0.0.5/24 -i eth0 -j DNAT iptables -t nat -A POSTROUTING -o eth0 -j MA...

Admin

Debianbuster/sid で ip6table-restore が失敗します。
ip6tables

Debianbuster/sid で ip6table-restore が失敗します。

私は次のようなiptableルールを持って/etc/iptables/rule.V6います。/etc/iptables/rule.V4 -4 -A INPUT -p icmp -j ACCEPT -6 -A INPUT -p ipv6-icmp -j ACCEPT 再起動しようとするとnetfilter-persistent内部的にiptables-restoreとip6tables-restore。 ip6tables-restore次のルールがわからないので失敗します。 -4 -A INPUT -p icmp -j ACCEPT 以下はエラ...

Admin

ループバックインターフェイスが初期化される前にすべてのファイアウォールルールをロードすることに欠点やリスクはありますか?
ip6tables

ループバックインターフェイスが初期化される前にすべてのファイアウォールルールをロードすることに欠点やリスクはありますか?

iptables非常に複雑でip6tables複数のインターフェースに影響を与える規則があります。ファイアウォールルールが常に維持されるようにしたいと思います。 (たとえば)(当時)存在しないインターフェイスに対してもルールを作成することが可能であるため、iptables -A INPUT -i eth999 -j ACCEPTルールを物理インターフェイスではなくlo常に存在するインターフェイスに関連付けると考えました。 # head /etc/network/interfaces # This file describes the network int...

Admin

ip6tablesを使用すると、しばらくするとIPv6ホストへの接続が失われるのはなぜですか?
ip6tables

ip6tablesを使用すると、しばらくするとIPv6ホストへの接続が失われるのはなぜですか?

頑張っていますip6tables(バージョン1.6.0)Debian 9 AMIを使用するEC2インスタンスでは、しばらくするとIPv6アドレスのサーバーへの接続が失われましたが、まだIPv4アドレスのサーバーに接続できることがわかりました。もちろん、セキュリティグループを許可するように設定しました。 ICMPを含むすべてのトラフィックIPv4およびIPv6。 チェーンのデフォルトポリシーを特定のポートまたはIPアドレスとすべてのICMPトラフィックを許可するINPUTように設定DROPし、AWS外の別のホスト(LinodeおよびDigitalOcean)...

Admin

IPv6が正しく機能するためのデフォルトのiptablesルールは何ですか?
ip6tables

IPv6が正しく機能するためのデフォルトのiptablesルールは何ですか?

しばらくすると、IPv6アドレスのサーバー接続が失われるという問題が発生しました。これは、デフォルトポリシーによってDHCPv6クライアントパケット(ポート546)が破棄されたためであることがわかりましINPUTたDROP。これこの問題に関する私の質問は次のとおりです。私のルールは次のとおりです。 -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p ipv6-icmp -j ACCEPT -A INPUT -s ...

Admin

IPv6ルールとip6tableヘルプ
ip6tables

IPv6ルールとip6tableヘルプ

今私のサーバーでいくつかのIPv6ルールを設定する方法を見つけようとしています。私の要件は、ループバックデバイスとローカルIPアドレス(この場合はリンクローカル)のエコー要求を無効にし、ポート22、80、および443を開くことです。 IPv4の場合、すべてが正常ですが、INPUTチェーンシーケンスに従うip6tablesに問題があるようです。これが私が今持っているものです: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -i lo -j ACC...

Admin

イントラネットIPv6セキュリティ
ip6tables

イントラネットIPv6セキュリティ

これでIPv6に入門し始めました。 まず、私の参考情報は次のとおりです。 Comcast ISPケーブルモデム Linuxファイアウォール/ルーター/ゲートウェイマシン eth1は、Comcastが提供するIPv6 / 128アドレスを使用してインターネットを指します。 eth0は、Comcastが提供するIPv6/64ネットワークを使用して内部ネットワークを指します。 内部Linuxマシン これまで、内部コンピュータのセキュリティは、主にRFC1918アドレスとiptablesNATの使用に基づいていました。 IPv6は(明らかに)NATを...

Admin

iptablesルールをip6tablesルールに変換するには?
ip6tables

iptablesルールをip6tablesルールに変換するには?

私はRaspberry Pi 3でクラウドサービスを実行しており、外部からもそのサービスにアクセスしたいと思います。残念ながら、私のISPはポート転送を許可していないので(別の話です)、IPv6アクセスを制限するためにまだ通過する必要があります。IPv4次のルールを設定します。 # /etc/iptables/rules.v4 # Generated by iptables-save v1.4.21 on Fri Mar 10 18:07:14 2017 *filter :INPUT DROP [10:3211] :FORWARD ACCEPT [0:0]...

Admin

ip6tables ルールは、認識できない次のヘッダーを受け入れます。
ip6tables

ip6tables ルールは、認識できない次のヘッダーを受け入れます。

RFC 2460に従って認識できない次のヘッダーで応答する必要があるコンプライアンステストがあります。私はDebian 3.16カーネルを実行しています。現在のファイアウォールの実装では、一致しない限り、DROP の INPUT 規則に従ってデフォルトでこれらのフレームを削除します。いくつかの一致ルールがありますが、通過を許可したい項目には非常に具体的です。これは非常に一般的なフレームワークなので、認識できないすべてのトラフィックを許可した場合、ファイアウォールがあるのはなぜですか?私はいくつかのヘッダーフィルタリングを可能にするip6tablesのマニュア...

Admin

ip6tablesは-dターゲットを受け入れませんが、iptablesは受け入れます。
ip6tables

ip6tablesは-dターゲットを受け入れませんが、iptablesは受け入れます。

IPv6アドレスが私のサーバーの特定のIPに接続することを許可しようとしていますが、他のIPには接続しないようにします。以下はip6tablesには適用されませんが、通常のiptablesには適用されます。しかし、-d xx.xx.xx.77ip6tablesコマンドからそれを削除すると、そのIP6アドレスが私が望んでいないボックスのすべてのIPに接続できるようになります。 ip6tables -I INPUT -d xx.xx.xx.77 -i enp2s0f0 -p tcp -m multiport --dports http,https -s 240...

Admin