Primeiro, não estou usando IPv6 no meu servidor, e o IPv6 está sendo desabilitado.
Entretanto, se eu executar firewall-cmd --list-all-policies, posso ver que há uma política padrão chamada allow-host-ipv6.
O que ele realmente faz? Também não tenho ideia de onde vem essa política. Tenho quase certeza de que o /etc/firewalld/policies/diretório está vazio. Como posso me livrar dele?
# firewall-cmd --list-all-policies
allow-host-ipv6 (active)
priority: -15000
target: CONTINUE
ingress-zones: ANY
egress-zones: HOST
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv6" icmp-type name="neighbour-advertisement" accept
rule family="ipv6" icmp-type name="neighbour-solicitation" accept
rule family="ipv6" icmp-type name="router-advertisement" accept
rule family="ipv6" icmp-type name="redirect" accept
Conforme a descrição da regra, "Permite funcionalidade básica do IPv6 para o host que executa o firewalld". Aspectos de IP em nível de protocolo: descoberta de vizinhos, anúncios de roteador, redirecionamentos. ICMPv6 é muito mais do que apenas eco.
Deixe esta regra de firewall habilitada para evitar a introdução de dívida técnica ao desabilitar o IPv6 em locais de difícil acesso. Esta regra específica reside em um caminho padrão do sistema para políticas: /usr/lib/firewalld/policies/allow-host-ipv6.xml
Se o seu roteador não estiver enviando RAs, não haverá uma rede IPv6 utilizável. Isso é necessário se você realmente não quiser v6 na rede, pois é possível que outros hosts não consigam usar o firewall ICMP.
A eliminação do ICMP tem um valor de segurança muito limitado, pois representa uma quantidade administrável de mensagens multicast, e o Linux possui uma implementação madura. Semelhante à filtragem de eco ICMP (ping), ela basicamente dificulta a execução de IPs com pouco ganho.