[Чайницкий вопрос]Настройка ip6tables

0

1

Хотелось бы не пропустить день тестирования IPv6. Но есть проблема: по IPv4 у меня компьютер подключён к домашней сети, и на нём открыт беспарольный доступ к личным файлам и тому подобные дела. Поэтому голой задницей в Интернет выпускать нельзя.
Собственно, как настроить ip6tables, чтобы защитить нужные данные? Сейчас у меня нет (и до 8 июня, видимо, не появится) возможности досканально ковырять весь ман. Поэтому просьба рассказать, как сделать следующее:
1) Заблокировать входящие соединения для всех портов, кроме названных.
2) Заблокировать входящие соединения только для названных портов, а остальные оставить открытыми.

Ну и вопрос по поводу сохранения этих настроек. Правильно ли я понимаю, что добавить в rc.local команду ip6tables-restore, натравленную на нужный файл, или же скрипт с командами, которыми я первый раз настраивал — наименее кривой способ?

Ссылка

←	gentoo проблема с openrc

php и установка oci8

→

Гхрм... Я конечно сильно извиняюсь, но базовая настройка ip6tables практически ничем не отличается от iptables.

Вот к примеру мой конфиг:

*filter
:INPUT DROP [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmpv6 -j ACCEPT
# accept everything from home network
-A INPUT -s 2001:470:xxxx:xxxx::/64 -j ACCEPT
# DSTU
-A INPUT -s 2001:470:xxxx:xxxx::2 -j ACCEPT
#
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

Pinkbyte ★★★★★
(21.05.11 19:13:39 MSK)

Ответ на: комментарий от Pinkbyte 21.05.11 19:13:39 MSK

>Гхрм... Я конечно сильно извиняюсь, но базовая настройка ip6tables практически ничем не отличается от iptables.

Ну так iptables я тоже пока ещё не настраивал за ненадобностью.

~~Ttt~~ ☆☆☆☆☆
(21.05.11 20:04:41 MSK) автор топика

Ответ на: комментарий от Ttt 21.05.11 20:04:41 MSK

Тебе нужно изменить политику по умолчанию для входящих пакетов:

iptables -P INPUT DROP

А дальше открывай что нужно.

Насчет наименее кривого способа - можно и так. Но если ты будешь часто изменять правила, лучше найди (или напиши сам) init-скрипт, который будет уметь перечитывать все настройки, обнулять правила и т.д.

o
(21.05.11 20:17:58 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	gentoo проблема с openrc

Admin

php и установка oci8

→

Похожие темы