Die „normale“ IPv4 Firewall wird von den Administratoren gut gepflegt, doch dass man dieselbe, mithilfe des Kommandos ip6tables tun sollte, daran denken die wenigsten.
Dies kann dann fatal sein, wenn der Internetprovider des Servers auf IPv6 umstellt, denn die Standard Einstellungen für die IPv6 Firewall sind bei vielen Distribution weit offen.
Mit diesem einfachen ipv6 iptables-script (welches bei CentOS/RedHat z.B. unter /etc/sysconfig/ip6tables liegt) kann man eine einfach DROP-All policy erstellen:
################################################################################ # Script Written by Steven Varco, root@tech-island.com # # DESCRIPTION: Iptables ruleset for a hosting server # CREATED: 19.02.2016 # # CHANGE HISTORY: # Date: Author: Description # ============================================================================== # 19.02.2016 Steven Varco - Initial configuration ################################################################################ *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :LOG_DROP - [0:0] :LOG_ACCEPT - [0:0] #========================== Inbound Traffic =================================== -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p ipv6-icmp -j ACCEPT # Add rules here -A INPUT -j LOG_DROP #========================== Outbound Traffic ================================== -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -p ipv6-icmp -j ACCEPT # Add rules here -A OUTPUT -j LOG_DROP #========================== Logging =========================================== # Here we have 2 sets of logging rules. One for dropped packets to log all dropped requests # and one for accepted packets, should we wish to log any accepted requesets. -A LOG_DROP -j LOG --log-prefix "[IPTABLES6 DROP] : " --log-tcp-options --log-ip-options -A LOG_DROP -j DROP -A LOG_ACCEPT -j LOG --log-prefix "[IPTABLES6 ACCEPT] : " --log-tcp-options --log-ip-options -A LOG_ACCEPT -j ACCEPT COMMIT |
