înregistrare Logare
Puncte:0
avatar Server

Securitatea rețelei: întărirea IPv6 pe serverul Ubuntu?

drapel tr
lion

Sunt familiarizat cu întărirea IPv4 pe serverul Ubuntu, dar când folosesc aceleași reguli pentru IPv6 cu ip6tables, conectivitatea IPv6 se pierde, rezultând în Destinație inaccesabilă: Adresă inaccesabilă erori în timpul ping-ului. Ați putea, vă rog, să ne sfătuiți cum să remediați această problemă? Logica mea este următoarea:

#IPv6
#Resetați toate regulile (F) și lanțurile (X)
ip6tables -F
ip6tables -X

#Forțați verificarea pachetelor SYN
ip6tables -A INTRARE -p tcp ! --syn -m stare --state NEW -j DROP
#Aruncă pachetele de Crăciun
ip6tables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#Drop pachete nule
ip6tables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
# Aruncă pachetele primite cu fragmente
#ip6tables -A INPUT -f -j DROP #acest lucru nu funcționează cu adevărat ca în iptables

#Reduceți traficul 
ip6tables -t filtru -P INPUT DROP
ip6tables -t filtru -P FORWARD DROP
ip6tables -t filtru -P OUTPUT DROP
#Păstrează-te stabilit
ip6tables -A INPUT -m stare --state RELATED,STABLISHED -j ACCEPT
ip6tables -A OUTPUT -m stare --state RELATED,STABLISHED -j ACCEPT
#Acceptă loopback
ip6tables -t filter -A INPUT -i lo -j ACCEPT
ip6tables -t filter -A OUTPUT -o lo -j ACCEPT

#ICMP
ip6tables -t filtru -A INTRARE -p icmp -j ACCEPT
ip6tables -t filter -A OUTPUT -p icmp -j ACCEPT

#ServiceX
ip6tables -t filter -A DESTINATION -p PROTOCOL --dport PORT -j ACCEPT
#ServiciulY
ip6tables -t filter -A DESTINATION -p PROTOCOL --dport PORT -j ACCEPT
#ServiceZ
ip6tables -t filter -A DESTINATION -p PROTOCOL --dport PORT -j ACCEPT
...

Exemplu pentru serverul ssh, deși nu folosesc niciodată portul implicit 22...

#SSH
ip6tables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
ip6tables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT

Scriptul este făcut executabil, deci rulează prin reporniri în /etc/init.d/scriptname. Ideea este de a bloca totul și de a permite doar ceea ce se știe efectiv să fie folosit de serviciile serverului. O abordare mai bună, vă rog? De ce funcționează acest lucru în IPv4, dar nu și în IPv6? Când emit ip6tables -t filtru -P INTRARE ACCEPT funcționează, dar nu acesta este ideea. Cum securizez cu adevărat IPv6 pe serverele Ubuntu? Mulțumiri!

82
0 + 0
drapel in
Gerald Schneider
Ipv6 funcționează diferit de ipv4 în multe aspecte. Poate ar trebui să înveți mai întâi ipv6.
0
Răspunde
drapel tr
lion
Mm-hmm... Și de unde să încep? xD Cum este ip6tables atât de diferit de iptables? Mulți spun să folosesc configurație identică din iptables, dar nu pare să funcționeze pentru mine.
0
Răspunde
drapel my
user951308
https://serverfault.com/questions/783807/ipv6-allow-incoming-icmp-echo-requests#comment990370_783807
0
Răspunde
drapel tr
lion
Mulțumesc, @user951308 pentru subliniere, dar permit deja ICMP. Se actualizează întrebarea... Poate că altceva trebuie să fie activat în mod specific în loc de întreaga direcție INPUT?
1
Răspunde
drapel tr
lion
BINE. Se pare că ar trebui să fie ipv6-icmp în loc de icmp. Mulțumiri!
0
Răspunde
Puncte:0
Omid Estaji avatar Server
drapel cn
Omid Estaji

Pe baza funcționalității IPv6, trebuie să adăugați câteva reguli ACCEPT pentru ICMPv6, încercați acestea:

ip6tables -A INTRARE -p icmpv6 --icmpv6-tip 1 -j ACCEPT
ip6tables -A INTRARE -p icmpv6 --icmpv6-type 2 -j ACCEPT
ip6tables -A INTRARE -p icmpv6 --icmpv6-tip 3 -j ACCEPT
ip6tables -A INTRARE -p icmpv6 --icmpv6-type 4 -j ACCEPT
ip6tables -A FORWARD -i $WAN_IF -p icmpv6 --icmpv6-type 1 -j ACCEPT
ip6tables -A FORWARD -i $WAN_IF -p icmpv6 --icmpv6-type 2 -j ACCEPT
ip6tables -A FORWARD -i $WAN_IF -p icmpv6 --icmpv6-type 3 -j ACCEPT
ip6tables -A FORWARD -i $WAN_IF -p icmpv6 --icmpv6-type 4 -j ACCEPT
# Descoperirea routerului și a vecinilor, la intrare și la ieșire
ip6tables -A INTRARE -p icmpv6 --icmpv6-type 133 -j ACCEPT
ip6tables -A INTRARE -p icmpv6 --icmpv6-type 134 -j ACCEPT
ip6tables -A INTRARE -p icmpv6 --icmpv6-type 135 -j ACCEPT
ip6tables -A INTRARE -p icmpv6 --icmpv6-type 136 -j ACCEPT
ip6tables -A IEȘIRE -p icmpv6 --icmpv6-type 133 -j ACCEPT
ip6tables -A IEȘIRE -p icmpv6 --icmpv6-type 134 -j ACCEPT
ip6tables -A IEȘIRE -p icmpv6 --icmpv6-type 135 -j ACCEPT
ip6tables -A IEȘIRE -p icmpv6 --icmpv6-type 136 -j ACCEPT
# Solicitare ping către firewall din LAN și DMZ
ip6tables -O INTRARE! -i $WAN_IF -p icmpv6 --icmpv6-type 128 -j ACCEPT
# Solicitare ping de la firewall, LAN și DMZ
ip6tables -A IEȘIRE -p icmpv6 --icmpv6-type 128 -j ACCEPT
ip6tables -A ÎNTÂMPRE! -i $WAN_IF -p icmpv6 --icmpv6-type 128 -j ACCEPT

Mi s-a părut foarte util acest articol: IPv6-Tabele

0 + 0
drapel tr
lion
ip6tables -t filtru -A INTRARE -p ipv6-icmp -j ACCEPT și ip6tables -t filtru -A IEȘIRE -p ipv6-icmp -j ACCEPT mi-a rezolvat. Mulțumiri! Vezi ultimul meu comentariu la întrebarea în sine.
0
Răspunde
drapel in
Gerald Schneider
@leu grozav că ai reușit să o rezolvi, dar te rog să accepți răspunsul care te-a ajutat.
0
Răspunde
drapel tr
lion
Era într-un comentariu de mai sus cu un link. Se pare că ar trebui să fie ipv6-icmp în loc de icmp.
0
Răspunde
Puncte:0
avatar Server
drapel tr
lion 
ip6tables -t filtru -A INTRARE -p ipv6-icmp -j ACCEPT
ip6tables -t filtru -A IEȘIRE -p ipv6-icmp -j ACCEPT

în loc de

ip6tables -t filtru -A INTRARE -p icmp -j ACCEPT
ip6tables -t filter -A OUTPUT -p icmp -j ACCEPT

o rezolva.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.