LINUX.ORG.RU
ФорумAdmin

Запретить пинговать сервер всем, кроме определенных адресов ipv6.

 , ,


0

1

Собственно, как это делается в ipv6? И кому не сложно объясните логику правил. 

$IP6TABLES -N AllowICMPs
$IP6TABLES -A AllowICMPs -p icmpv6 --icmpv6-type 1 -j ACCEPT
$IP6TABLES -A AllowICMPs -p icmpv6 --icmpv6-type 2 -j ACCEPT
$IP6TABLES -A AllowICMPs -p icmpv6 --icmpv6-type 3 -j ACCEPT
$IP6TABLES -A AllowICMPs -p icmpv6 --icmpv6-type 4 -j ACCEPT
$IP6TABLES -A AllowICMPs -p icmpv6 --icmpv6-type 128 -m limit --limit 5/sec --limit-burst 10 -j ACCEPT
$IP6TABLES -A AllowICMPs -p icmpv6 --icmpv6-type 129 -j ACCEPT
$IP6TABLES -A INPUT -p icmpv6 -s $TUNNEL -d $MYTUNNEL  -j AllowICMPs

А можно практическое применение такого подхода узнать? Можно ведь просто отключить ping, а доступность проверять при помощи tcping, например.

IPR ★★★★★
()
Ответ на: комментарий от voltmod

Точно так же как и в ipv4

Так 

# ip6tables -L -v -n
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   83  8632 ACCEPT     all      eth0   *       ::/0                 ::/0                 state RELATED,ESTABLISHED
    0     0 ACCEPT     all      lo     *       ::/0                 ::/0                
    0     0 DROP       all      *      *       ::/0                 ::/0                 state INVALID
11649  834K ACCEPT     all      *      *       fe80::/10            ::/0                
  172 12192 ACCEPT     all      *      *       ::/0                 ff00::/8            
    0     0 ACCEPT     tcp      eth0   *       2002:2:0:2:0:0:0:a1  ::/0                 tcp dpt:22
    0     0 ACCEPT     icmpv6    *      *       2002:2:0:2:0:0:0:a1  ::/0                

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 47 packets, 3432 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all      *      lo      ::/0                 ::/0                
 1806  128K ACCEPT     all      *      *       fe80::/10            ::/0                
    1    72 ACCEPT     all      *      *       ::/0                 ff00::/8            
    0     0 ACCEPT     tcp      *      eth0    ::/0                 2002:2:0:2:0:0:0:a1  tcp spt:22 dpts:512:65535 flags:!0x17/0x02
    0     0 ACCEPT     icmpv6    *      *       ::/0                 2002:2:0:2:0:0:0:a1

Пинги не идут, и сервер перестает быть доступным по ssh.

kalipso
() автор топика
Ответ на: комментарий от kalipso

Это разве не оффтоп? Не?

Нет. /usr/ports/net/tcping

IPR ★★★★★
()
Ответ на: комментарий от kalipso

Адресом 2002:2:0:2:0:0:0:a1 или интерфейсом eth0 не ошиблись? Посмотрите tcpdump.
ЗЫ Не совсем в тему, принципиально все в OUTPUT закрываете?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 3)
Ответ на: комментарий от kalipso

По ссылке описание --icmpv6-type. Что же тогда не понятно?

anc ★★★★★
()
Ответ на: комментарий от anc

Адресом 2002:2:0:2:0:0:0:a1 или интерфейсом eth0 не ошиблись?

Адрес подредактировал, когда вывод выкладывал,дабы не светить.

kalipso
() автор топика
Ответ на: комментарий от kalipso

Адрес подредактировал, когда вывод выкладывал,дабы не светить.

Это понятно. Я про тот который реальный, вы им не ошиблись? Посмотрите по tcpdump от кого прилетает тот же пинг и сравните с правилами, мало ли может где-то цифиркой ошиблись.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)

Обычно все вайт-блэк и прочие листы делаются с помощью ipset. Насчет ipv6 надо смотреть, еще не трогал тему.

targitaj ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin