----------------------------------------------------------- Jak na ip6tables ----------------------------------------------------------- Srpen 2022 Předpoklady: 1) na cílovém stroji Linux, v tomto případě Debian. Na něm nainstalovaný ip6tables 2) rozchozený síťový interface s IPV6 3) zdrojový systém s ssh klientem a rozchozeným síťovým interface s IPV6 4) na cílovém stroji s sshd serverem umístíme následující skript, aby se provedl před zvednutím síťových rozhraní: > cat /etc/network/if-pre-up.d/iptables #!/bin/sh /sbin/ip6tables-restore < /etc/ip6tables.rules > chmod u+x /etc/network/if-pre-up.d/iptables 5) do /etc/ip6tables.rules umístíme níže uvedný obsah a povolíme zdrojovou ipv6 adresu (místo xxx dáme reálnou adresu, kterou by mohlo ukázat například ip addr) 6) ze zdrojového systému provedeme: ssh -6 user@xxxx:xxxx:xxxx:xxxx:x:x:xxxx:xxxx kde xka jsou cílová ipv6 adresa. Poznámka: Stěžejní je dodržet v nastavení firewallu sekci popsanou v RFC 4890. Přeji IPV6 další šťastnou dekádu. -- obsah /etc/ip6tables.rules začátek -- *filter ################################################################# # POVOL VSTUPNI PROVOZ Z LOOPBACK INTERFACE -A INPUT -i lo -j ACCEPT # KROME PROVOZU Z LOOPBACK INTERFACE, KTERY NESMERUJE NA LOCALHOST -A INPUT ! -i lo -d ::1 -j REJECT # POVOL VSECHNY JIZ NAVAZANA SPOJENI -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ################################################################# # POVOL SSH Z DANE IP ADRESY -A INPUT -p tcp -s xxxx:xxxx:xxxx:xxxx:x:x:xxxx:xxxx/64 --dport 22 -j ACCEPT ################################################################# # Permit needed ICMP packet types for IPv6 per RFC 4890. -6 -A INPUT -p ipv6-icmp --icmpv6-type 1 -j REJECT -6 -A INPUT -p ipv6-icmp --icmpv6-type 2 -j ACCEPT -6 -A INPUT -p ipv6-icmp --icmpv6-type 3 -j ACCEPT -6 -A INPUT -p ipv6-icmp --icmpv6-type 4 -j ACCEPT -6 -A INPUT -p ipv6-icmp --icmpv6-type 133 -j ACCEPT -6 -A INPUT -p ipv6-icmp --icmpv6-type 134 -j ACCEPT -6 -A INPUT -p ipv6-icmp --icmpv6-type 135 -j ACCEPT -6 -A INPUT -p ipv6-icmp --icmpv6-type 136 -j ACCEPT -6 -A INPUT -p ipv6-icmp --icmpv6-type 137 -j ACCEPT -6 -A INPUT -p ipv6-icmp --icmpv6-type 141 -j ACCEPT -6 -A INPUT -p ipv6-icmp --icmpv6-type 142 -j ACCEPT -6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 130 -j ACCEPT -6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 131 -j ACCEPT -6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 132 -j ACCEPT -6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 143 -j ACCEPT -6 -A INPUT -p ipv6-icmp --icmpv6-type 148 -j ACCEPT -6 -A INPUT -p ipv6-icmp --icmpv6-type 149 -j ACCEPT -6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 151 -j ACCEPT -6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 152 -j ACCEPT -6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 153 -j ACCEPT ################################################################# # POVOL VSECHEN ODCHOZI PROVOZ -A OUTPUT -j ACCEPT # ZAKAZ SMEROVANI PROVOZU -A FORWARD -j REJECT # A VEESKERY OSTATNI PRICHOZI PROVOZ ZAKAZ -A INPUT -j REJECT # ULOZ ZMENY COMMIT ################################################################# -- obsah /etc/ip6tables.rules konec --