在我们的Ubuntu服务器上,启用了ipv4&ipv6。 我们已经采取了这些步骤。
我们是否需要对ip6tables进行额外的调整?
假设我们的服务器为ipv4加强了,我们是否需要对ipv6进行额外的修改?
你应该没问题,如果你设置iptables的方式与你设置iptables一样。 只要确保netstat -l不会意外地在IPv6接口上监听不在IPv4上的服务,因此忘记了在ip6tables设置中包含这些服务。
如果您担心打开端口,我build议您使用IPv4的常规选项运行nmap,并将其与IPv6 nmap扫描进行比较,并确保它们都能为您提供所需的结果。
如果您无法获得公共地址,则IPv6将被限制为链接本地地址。 这些仅限于本地链接,并且应该比可以在站点内路由的私有IPv4范围稍微安全一些。 等效的IPv6是站点本地地址,但不推荐使用。
使用ip6tables防火墙IPv6,就像使用iptables IPv4一样。 Shorewall防火墙工具可以configuration为lockingIPv6,或者其Shorewall6版本可以用来构buildIPv6防火墙。 IPv6需要比IPv4更多的types才能正常工作。 与示例configuration一起使用时, shorewall和shorewall6支持最小types。 您可以select启用其他types。
IPv6会自动进行configuration,因此如果您有可能获得分配的公共地址的风险,限制传入访问是非常重要的。 另外一方面,如果启用了隐私扩展function,您的地址将每隔几个小时更改一次,因此您的IPv6地址在被replace为不同的地址之前将只能被隐藏几个小时。 有权访问您的stream量的人仍然能够识别您的地址尝试扫描打开的端口。 任何networking上的IPv6地址范围都很大,为主机扫描networking并不实际。
是的,有几个问题需要注意。
您需要了解RH0安全问题 。 尽pipe不再需要使用明确的防火墙规则来缓解这个问题,但是从2006年2月6日(2007年)开始,Linux内核总是忽略这个stream量,您可能会遇到需要应用防火墙规则的较早的系统。
如果某些stream量仅限于特定主机或子网,则必须编写与这些主机或子网的IPv6地址对应的相应IPv6防火墙规则。
您不应该阻止IPv6上的ICMP; 因为它更依赖于ICMP,所以如果你做任何forms的ICMP阻塞,连接都可能以神秘的方式失败。