ipv6 iptables firewall

Die „normale“ IPv4 Firewall wird von den Administratoren gut gepflegt, doch dass man dieselbe, mithilfe des Kommandos ip6tables tun sollte, daran denken die wenigsten.

Dies kann dann fatal sein, wenn der Internetprovider des Servers auf IPv6 umstellt, denn die Standard Einstellungen für die IPv6 Firewall sind bei vielen Distribution weit offen.

Mit diesem einfachen ipv6 iptables-script (welches bei CentOS/RedHat z.B. unter /etc/sysconfig/ip6tables liegt) kann man eine einfach DROP-All policy erstellen:

################################################################################
# Script Written by Steven Varco, root@tech-island.com
#
# DESCRIPTION: Iptables ruleset for a hosting server
# CREATED: 19.02.2016
#
# CHANGE HISTORY:
# Date:       Author:         Description
# ==============================================================================
# 19.02.2016  Steven Varco      - Initial configuration
################################################################################
 
 
 
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:LOG_DROP - [0:0]
:LOG_ACCEPT - [0:0]
 
 
 
#========================== Inbound Traffic ===================================
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
 
# Add rules here
 
-A INPUT -j LOG_DROP
 
 
 
#========================== Outbound Traffic ==================================
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p ipv6-icmp -j ACCEPT
 
# Add rules here
 
-A OUTPUT -j LOG_DROP
 
 
 
#========================== Logging ===========================================
# Here we have 2 sets of logging rules. One for dropped packets to log all dropped requests
# and one for accepted packets, should we wish to log any accepted requesets.
-A LOG_DROP -j LOG --log-prefix "[IPTABLES6 DROP] : " --log-tcp-options --log-ip-options
-A LOG_DROP -j DROP
-A LOG_ACCEPT -j LOG --log-prefix "[IPTABLES6 ACCEPT] : " --log-tcp-options --log-ip-options
-A LOG_ACCEPT -j ACCEPT
COMMIT

Published by

Steven Varco

Steven ist ein Redhat RHCE-Zertifizierter Linux-Crack und ist seit über 20 Jahren sowohl beruflich wie auch privat auf Linux spezialisiert. In seinem Keller steht ein Server Rack mit diversen ESX und Linux Servern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.