Закрыть порты на IPv6 по глобальному адресу

Ну прикрой без адреса, в чем проблема? https://linux.die.net/man/8/ip6tables

Стоп. Что значит без адреса?

Без адреса не пойдет. По нему из локальной сети могут обращаться. Нужно только на глобальном адресе.

Ман почитай все же. Там есть про порядок применения правил. Сделай разрешающие, сделай запрещающие.

Разрешить на локальном интерфейсе
Запретить на внешнем.
И судя по вашей предыдущей теме если не нужен доступ в локалку, не забыть цепочку forward.
Синтаксис ip6tables полностью аналогичен iptables, так что тут все так же как и для ipv4. Оперировать без особой надобности (явноже не ваш вариант) в fw адресами глупо, а при динамическом тем более. Для этого интерфейсы есть.
ЗЫ Просто интересно стало. В предыдущей теме этого не было вроде. Вы v6 как получаете? Что он у вас динамический? И собственно второй вопрос, нафига оно вам сдалось в таком виде? :)

Правильно ли я понимаю, что под интерфейсом вы понимаете Link encap:Ethernet ? Если да, то у меня получается всего два интерфейса enp2s и lo. На первом сидит все, все IPv6 и все IPv4.... Причем IPv6 их несколько. В настоящий момент 1 /Local и 2 /Global... Вот как отчекрыжить Global - не очень понятно.

По поводу IPv6 - он получается так же как и раньше, через 6to4 тоннель. Проброску между сетями я организовал при помощи SoftEther VPN, но каким-то кривым способом. Причем кривизна, по всей видимости, роется как раз в натуре SE VPN работающего в User Space. Там машины хосты VPN друг друга в упор не видят, хотя все ресурсы сетей видно в обще стороны. Поэтому я прокинул IPsec/L2TP для IPv4 (сязка ZyXel + Ubuntu) и прокинул отдельно SE VPN L2 с полной фильтрацией IPv4 (Ubuntu + Ubuntu). Работает... Но не совсем так как надо (получается два VPN тоннеля, что не есть хорошо, можно конечно завернуть SE VPN внутрь IPsec/L2TP, но мне кажется, что концептуально ничего не изменится).

Но вопрос тут остается с закрытием портов на Ubuntu машинах по IPv6. По IPv4 их надежно защищает NAT, а по IPv6 они смотря в глобальную сеть. Некоторые порты, например от SMB, пускать наружу смысла нет никакого :)

Да, IPv6 динамический из-за тоннелья 6to4, там адресация зависит от белого IPv4 IP-адреса. Если он меняется, то меняется и вся адресация IPv6.

По IPv4 их надежно защищает NAT

Сколько раз твердили миру, NAT != fw, нат не защищает.

Если он меняется, то меняется и вся адресация IPv6.

Если он меняется, то явно не спроста, можно скрипт повесить меняющий правила. Выже как-то меняете правила, наверное для IPV4. А вообще «поциент зачем вам столько галоперидола?» В смысле динамический ipv6 в сеть?

От внешнего проникновения NAT, если специально не открывать порты, должен защитить. Просто некуда проникать, если никто не светит. Но, разумеется, NAT не есть FireWall.

Как минимум в локалке нет, nat не защитит. И в локалке мнооого маменьких кулл хакеров обитают.

Для IPv4 правила не меняются. Есть DynDNS, который субдоменный адрес подкручивает когда надо. Сриптом конечно можно, периодически менять IP6Tables, я думал, может быть есть более красивое решение. Как-то выделить /Global, например.

IPv6 нужен по большей части для выхода наружу по IPv6, а тут не так важно, какой он на текущий момент. В том числе по нему торренты всякие бегают. И прочие сервисы постепенно начинают переползать.

В локалке да. Отсюда вопрос: если в Ubuntu никто порт не слушает, то порт и не открывается. Закрываить нечего. Или я чего-то не понимаю, и кул хацкеры могут взломать что-то на не слушаемых портах?

Внутренние сервисы открыты для локалки и как бы их закрывать не стоит для локалки. Но, поскольку машина имеет IPv6, то считай стоит голая в сети. Если адрес знать, то можно к ней покдлючиться.

Наружу у меня торчит SSH, так SSHGuard периодически банит по 100 счастливчиков, которые пытаются подобрать логин, а потом и парол... А тут SMB открытая на R/W (файловая помойка).

При вашей схеме, явно же бридж (SoftEther не пользовал тем более на внешнем интерфейсе) думаю все-таки скрипт при смене ip. Ведь в любом случае клиенты должны переполучить новые ipv6. Кстати даже не представляю как вы это реализуете.

В локалке да. Отсюда вопрос: если в Ubuntu никто порт не слушает, то порт и не открывается. Закрываить нечего.

Тут верно. Но может быть ситуация другая, а вдруг откроете? Демон какой-то поставите и не заметите? Или устройство с открытым портом включите?

Внутренние сервисы открыты для локалки и как бы их закрывать не стоит для локалки.

Т.е. fw на каждом устройстве? Ну хм, тоже вариант. Тогда также можно поступить и в части ipv6.
ЗЫ Знаете есть еще такой адрес fe80 так вот даже без глобального ipv6 ваша самба если она работает по ipv6 и т.д. уже уязвима для локалки. Точнее без правил ip6tables уязвимо все что слушает на v6.

Клиенты переполучают новые IPv6 автоматически через Router Advertisment, что делает корневой роутер в сети (который и реализует 6to4). С этим проблем не возникает, поскольку IPv6 это такая зараза, которая проползает везде :) «Широковещательный» запрос, нашел кто раздает, присосался, заработал с новым адресом. Роутинг там так же просачивается.

Внутренние сервисы открыты для локалки и как бы их закрывать не стоит для локалки. Но, поскольку машина имеет IPv6, то считай стоит голая в сети. Если адрес знать, то можно к ней покдлючиться.

И повторюсь без разницы что это v4 или v6, защищать нужно все одинаковыми правилами. Про nat вообще забудьте, не защита это а плацебо что бы спать спокойно думая что у меня все хорошо.

Кем RA раздаете? И шо все на одном интерфейсе?

Т.е. fw на каждом устройстве? Ну хм, тоже вариант. Тогда также можно поступить и в части ipv6.
ЗЫ Знаете есть еще такой адрес fe80 так вот даже без глобального ipv6 ваша самба если она работает по ipv6 и т.д. уже уязвима для локалки. Точнее без правил ip6tables уязвимо все что слушает на v6.

На виндусе так и есть, на каждом устройстве по FW. Удивили платки на ESP8266 под Arduino. Они пакетики из чужой сети, за исключением Ping, не принимают.

FE80 это и есть /Local. Причем, как и /Global, их может быть несколько (один получен от одного RA, другой от другого, а если в сети ни одного RA, то сам себе назначил).

Самба должна быть открыта для локалки, ее для этого и сделали :) А вот от глобала, надо ее закрыть. У меня сейчас вот так открыто (на IPv4 больше, чем на IPv6):

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:8200            0.0.0.0:*               LISTEN      1515/minidlnad
tcp        0      0 0.0.0.0:1194            0.0.0.0:*               LISTEN      24484/vpnserver
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      1174/smbd
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN      1520/perl
tcp        0      0 0.0.0.0:5555            0.0.0.0:*               LISTEN      24484/vpnserver
tcp        0      0 0.0.0.0:51413           0.0.0.0:*               LISTEN      1483/transmission-d
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1313/sshd
tcp        0      0 0.0.0.0:8888            0.0.0.0:*               LISTEN      1505/rslsync
tcp        0      0 0.0.0.0:8090            0.0.0.0:*               LISTEN      1068/xeoma
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      24484/vpnserver
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      1174/smbd
tcp        0      0 0.0.0.0:992             0.0.0.0:*               LISTEN      24484/vpnserver
tcp        0      0 0.0.0.0:9091            0.0.0.0:*               LISTEN      1483/transmission-d
tcp        0      0 0.0.0.0:24996           0.0.0.0:*               LISTEN      1505/rslsync
tcp6       0      0 :::1194                 :::*                    LISTEN      24484/vpnserver
tcp6       0      0 :::139                  :::*                    LISTEN      1174/smbd
tcp6       0      0 :::5555                 :::*                    LISTEN      24484/vpnserver
tcp6       0      0 :::51413                :::*                    LISTEN      1483/transmission-d
tcp6       0      0 :::22                   :::*                    LISTEN      1313/sshd
tcp6       0      0 :::443                  :::*                    LISTEN      24484/vpnserver
tcp6       0      0 :::445                  :::*                    LISTEN      1174/smbd
tcp6       0      0 :::992                  :::*                    LISTEN      24484/vpnserver

Если не заморачиваться скриптом, то видимо можно закрыть все на IPv6 и открыть только трансмишн... PS. rslsync это Resilio Sync

Кем RA раздаете? И шо все на одном интерфейсе?

RA раздают роутеры в локальных сетях. Раздают в интерфейсы LAN. Тот роутер, на котором есть 6to4 раздает и /Global.

И повторюсь без разницы что это v4 или v6, защищать нужно все одинаковыми правилами. Про nat вообще забудьте, не защита это а плацебо что бы спать спокойно думая что у меня все хорошо.

Но вот тут, не очень понятно. Если я установил демона, который что-то делает, то он мне нужен для чего-то и видимо для связи с сетью/внешним миром. Его и закрывать не следует. А если ничего не установлено левого, то на неслушаемых портах и закрывать нечего. Единственная разница: сервисы типа самбы, которые должны светить только внутрь.

Понимаете этот Local может быть очень обширный :) Читаем про ff02::1

Если не заморачиваться скриптом, то видимо можно закрыть все на IPv6 и открыть только трансмишн...

Ну с этого начинали вроде

Стоп. Пример с одним интерфейсом это было не про роутер что ли, а только про отдельный комп? Тогда почему речь про раздачу ipv6? Вобщем я запутался. Мы защищаем отдельно стоящий с ipv6 или роутер через который раздается v6 в локалку?

Читаем про ff02::1

«Как мы видим, у многих роутеров открыт Telnet, веб-интерфейс и DNS извне по IPv6. Что же это значит? Все просто — разработчики прошивки роутера просто-напросто забыли про IPv6.»

Редиски с ЗюХеля мне втирали, что так и должно быть :) Я им верно не поверил :)

Стоп. Пример с одним интерфейсом это было не про роутер что ли, а только про отдельный комп? Тогда почему речь про раздачу ipv6? Вобщем я запутался. Мы защищаем отдельно стоящий с ipv6 или роутер через который раздается v6 в локалку?

Пример с одним интерфейсом это Ubuntu 16.04LTS Server. IPv6 /Global раздает ZyXEL на котором поднят тоннель 6to4. На Ubuntu серверах поднят тоннель SE Layer 2 с полной фильтрацией IPv4. Соответствено две физически разных сети объеденены в одну локальную IPv6 сеть, где RA делает ZyXEL и выдает /Global всем желающим. Есть еще один роутер, у которого нету выхода в глобальную IPv6 сеть, поэтому он делает RA только на FE80... PS. Ну и чтобы бегали пакеты IPv4 между сетями, прокинул тоннель IPsec Layer 3 (маршрутеризируемый) между ZyXEL и Ubuntu в обделенной IPv6 сети. Для маршрутеризации пакетов между локальными сетями по IPv4 занимаются соответственно Ubuntu и ZyXEL.

Падумаеш зухель, у мну у домашнего прова в локалке нетгиры в дэфолтным паролем работают где-то там (просторы большие) у юзверей, чисто ради интереса проверял. :)

Понял. Почти:)
Если у вас все-таки роутер зухель то на нем и надо fw поднимать
Если роутиться через что-то еще, можно на нем.
Если блокировать локально, то только по интерфейсу, во всяком случае сходу я не вижу варианта при смене ip дернуть смену fw.

поэтому он делает RA только на FE80...

Это не RA это самоназначемый адрес.

Падумаеш зухель, у мну у домашнего прова в локалке нетгиры в дэфолтным паролем работают где-то там (просторы большие) у юзверей, чисто ради интереса проверял. :)

Это кстати интересная штука, надо будет просканировать свои сети. Ведь можно, по идее, маршрутеризировать свой трафик через чужой роутер, у которого тариф супер-скоростной :)

Если у вас все-таки роутер зухель то на нем и надо fw поднимать

Если роутиться через что-то еще, можно на нем. Если блокировать локально, то только по интерфейсу, во всяком случае сходу я не вижу варианта при смене ip дернуть смену fw. поэтому он делает RA только на FE80... Это не RA это самоназначемый адрес.

Точно, там еще fd80 раздается роутером.

На зухеле нету FW на IPv6. И ната на него нету. Т.е. IPv6, по задумке, должен проходить до потребителя в незамутненном состоянии.

На зухеле нету FW на IPv6. И ната на него нету. Т.е. IPv6, по задумке, должен проходить до потребителя в незамутненном состоянии.

Вернее его нету на сеть Home. Есть только на сам зюхель. И то без различия по стеку. Сразу ставится закрытие порта на оба протокола.

Точно, там еще fd80 раздается роутером.

Это самоназначаемый. Роутер его не раздает.

Точно, там еще fd80 раздается роутером.

Это самоназначаемый. Роутер его не раздает.

Не совсем так. fd80 - самоназначенный, а fd86, по крайней мере у меня, раздает роутер ЯнЧуд. [img]http://s012.radikal.ru/i320/1701/fe/dd39d17e344d.png[/img]

http://s012.radikal.ru/i320/1701/fe/dd39d17e344d.png

Ну это тоже локальный