在我们的 Ubuntu 服务器上,启用了 ipv4 和 ipv6。到目前为止,我们已经采取了这些步骤。
- 启用 iptables 和 ip6tables
- 将规则完全从我们的 iptables 复制到 ip6tables
我们是否需要对 ip6tables 进行额外的调整?
假设我们的服务器针对 ipv4 进行了强化,我们是否需要针对 ipv6 进行额外的更改?
AskOverflow.Dev
如果您以与设置 iptables 相同的方式设置 ip6tables,则应该没问题。只要确保
netstat -l您不会意外地让服务在 IPv6 接口上侦听而不在 IPv4 上侦听,因此忘记包含在 ip6tables 设置中。如果您担心开放端口,我建议您使用 IPv4 的常规选项运行 nmap,并将其与 IPv6 nmap 扫描进行比较,并确保它们都能为您提供所需的结果。
如果您无法获取公共地址,IPv6 将被限制为链接本地地址。这些仅限于本地链接,并且应该比可以在站点内路由的私有 IPv4 范围更安全。IPv6 等效项是站点本地地址,但已弃用。
防火墙 IPv6 与
ip6tables,就像您将 IPv4 与iptables. Shorewall防火墙工具可配置为锁定 IPv6,或者其 Shorewall6 版本可用于构建 IPv6 防火墙。IPv6 需要比 IPv4 更多的类型才能正常工作。shorewall并shorewall6在与示例配置一起使用时为两者启用最小类型。您可以选择启用其他类型。IPv6 会进行自动配置,因此如果存在分配公共地址的风险,限制传入访问非常重要。从好的方面来说,如果启用了隐私扩展,您的地址将每隔几个小时更改一次,因此您的 IPv6 地址只会在几个小时内易受攻击,然后才会被其他地址替换。有权访问您的流量的人仍然能够识别您的地址尝试扫描开放端口。任何网络上的 IPv6 地址范围都是巨大的,扫描网络中的主机不是很实用。
是的,有几个问题需要注意。
您需要注意RH0 安全问题。虽然不再需要使用显式防火墙规则来缓解这种情况,但由于大约 2.6.20.9(2007 年!)以来的 Linux 内核总是忽略此流量,您可能会遇到需要应用防火墙规则的旧系统。
如果您的某些流量仅限于特定主机或子网,则必须编写与这些主机或子网的 IPv6 地址相对应的 IPv6 防火墙规则。
您不应该在 IPv6 上阻止 ICMP;由于它更加依赖 ICMP,如果您执行任何类型的 ICMP 阻塞,连接可能会以神秘的方式失败。