Jak na ip6tables


-----------------------------------------------------------
 Jak na ip6tables 
-----------------------------------------------------------

Srpen 2022

Předpoklady:

1) na cílovém stroji Linux, v tomto případě Debian. 
   Na něm nainstalovaný ip6tables
2) rozchozený síťový interface s IPV6
3) zdrojový systém s ssh klientem a rozchozeným síťovým interface
   s IPV6
4) na cílovém stroji s sshd serverem umístíme následující skript,
   aby se provedl před zvednutím síťových rozhraní:

  > cat /etc/network/if-pre-up.d/iptables
  #!/bin/sh
  /sbin/ip6tables-restore < /etc/ip6tables.rules
  > chmod u+x /etc/network/if-pre-up.d/iptables

5) do /etc/ip6tables.rules umístíme níže uvedný obsah
   a povolíme zdrojovou ipv6 adresu (místo xxx dáme reálnou
   adresu, kterou by mohlo ukázat například ip addr)
6) ze zdrojového systému provedeme:
   ssh -6 user@xxxx:xxxx:xxxx:xxxx:x:x:xxxx:xxxx
   kde xka jsou cílová ipv6 adresa.

Poznámka: Stěžejní je dodržet v nastavení firewallu sekci popsanou
          v RFC 4890.

Přeji IPV6 další šťastnou dekádu.

-- obsah /etc/ip6tables.rules začátek --
*filter
#################################################################
# POVOL VSTUPNI PROVOZ Z LOOPBACK INTERFACE
-A INPUT -i lo -j ACCEPT
# KROME PROVOZU Z LOOPBACK INTERFACE, KTERY NESMERUJE NA LOCALHOST 
-A INPUT ! -i lo -d ::1 -j REJECT
# POVOL VSECHNY JIZ NAVAZANA SPOJENI
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#################################################################
# POVOL SSH Z DANE IP ADRESY
-A INPUT -p tcp -s xxxx:xxxx:xxxx:xxxx:x:x:xxxx:xxxx/64 --dport 22 -j ACCEPT
#################################################################
# Permit needed ICMP packet types for IPv6 per RFC 4890.         
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 1   -j REJECT
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 2   -j ACCEPT
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 3   -j ACCEPT
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 4   -j ACCEPT
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 133 -j ACCEPT
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 134 -j ACCEPT
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 135 -j ACCEPT
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 136 -j ACCEPT
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 137 -j ACCEPT
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 141 -j ACCEPT
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 142 -j ACCEPT
-6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 130 -j ACCEPT
-6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 131 -j ACCEPT
-6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 132 -j ACCEPT
-6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 143 -j ACCEPT
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 148 -j ACCEPT
-6 -A INPUT              -p ipv6-icmp --icmpv6-type 149 -j ACCEPT
-6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 151 -j ACCEPT
-6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 152 -j ACCEPT
-6 -A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 153 -j ACCEPT
#################################################################
# POVOL VSECHEN ODCHOZI PROVOZ
-A OUTPUT -j ACCEPT
# ZAKAZ SMEROVANI PROVOZU
-A FORWARD -j REJECT
# A VEESKERY OSTATNI PRICHOZI PROVOZ ZAKAZ
-A INPUT -j REJECT
# ULOZ ZMENY
COMMIT
#################################################################
-- obsah /etc/ip6tables.rules konec --