简明centos IPv6 ip6tables 防火墙配置简介

admin

Ip6tables 是 Linux 核心中用于设置、维护和检测 IPv6 包的过滤规则的程序。使用中请注意 IPv4 版的是 iptables，而 IPv6 版的是 ip6tables。

+ ^; ~8 x  {8 ^& l6 j9 l$ H8 s7 U在命令行窗口输入下面的指令就可以查看当前的 IPv6 防火墙配置：
ip6tables -nL --line-numbers
! H: n# v% k% n. J' v
* i3 x' s, ^0 M使用编辑器编辑 /etc/sysconfig/ip6tables 文件：
# Z' Z# u. J" K& w9 w. V: d5 \( s
! R% P4 G" Z4 n# vi /etc/sysconfig/ip6tables
' o" L  y7 _( [1 d3 C可能会看到下面的默认 ip6tables 规则：（不同ip6table版本RH-Firewall-1-INPUT可能不通用请用INPUT替换）
) I7 }  U$ q- D7 }*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
2 t, b& K; E( E( r* v4 E:RH-Firewall-1-INPUT - [0:0]
9 u1 }% \: _9 J8 Y, G-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
5 x7 A. J: M$ Y2 f" r" F* H- V) B-A RH-Firewall-1-INPUT -i lo -j ACCEPT
! @, O' L. {  T$ O$ i-A RH-Firewall-1-INPUT -p icmpv6 -j ACCEPT
' e0 X$ Q8 d- X4 T) ]-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
+ E# h& W& t2 r, D/ i4 k-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
+ M+ y. t; Z6 _4 b-A RH-Firewall-1-INPUT -p udp --dport 5353 -d ff02::fb -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
. |, C% D' [+ H8 l-A RH-Firewall-1-INPUT -p udp -m udp --dport 32768:61000 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 32768:61000 ! --syn -j ACCEPT
# U5 o5 y6 d# s4 M' C-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp6-adm-prohibited
COMMIT
$ ?8 C) |. Z6 W( Y; v) {2 z+ Z- |与 IPv4 的 iptables 规则类似，但又不完全相同。

要开启 80 端口（HTTP 服务器端口），在 COMMIT 一行之前（准确说应该是在默认操作之前，下同）添加如下规则：
+ f: c1 y9 [& X* C$ O/ `0 Z: f
-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 80 -j ACCEPT
-p tcp 表示仅针对 tcp 协议的通信。–dport 指定端口号。
' O$ E5 [; Q9 l0 L, G3 m) i
要开启 53 端口（DNS 服务器端口），在 COMMIT 一行之前添加如下规则：
  w$ F3 j% i/ E  M
-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -m udp -p tcp --dport 53 -j ACCEPT
9 J) q3 V* q3 ?5 s同时针对 tcp 和 udp 协议开启 53 端口。

要开启 443 端口（HTTPS 加密连接服务器端口），在 COMMIT 一行之前添加如下规则：

. b: x- J5 N, P0 v8 }% n- X1 R-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 443 -j ACCEPT
# w2 K2 @- q6 _7 L9 R1 ?要开启 25 端口（SMTP 邮件服务器端口），在 COMMIT 一行之前添加如下规则：
6 U7 x/ o! u8 u( c* `* M: V2 c
# a1 l1 E% M7 K. `-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 25 -j ACCEPT
对于那些没有特定规则与之匹配的数据包，可能是我们不想要的，多半是有问题的。我们可能也希望在丢弃（DROP）之前记录它们。此时，可以将最后一行：
5 j/ q; _2 O$ M8 B2 h
/ A. u+ B( [) }  {* X! w, P-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp6-adm-prohibited
COMMIT
7 Z0 j' N' t5 P( B8 s! N6 w改为：
$ U5 N* [4 z: e, J1 C! s; Z9 `; F( V
-A RH-Firewall-1-INPUT -j LOG
# X- N4 @( ]/ i' O-A RH-Firewall-1-INPUT -j DROP
COMMIT
保存并关闭该文件。然后重新启动 ip6tables 防火墙：
8 W& i: c0 B: {" w) E, H
" y2 R( J9 m6 z7 M# service ip6tables restart
% N( [) [! I2 t" z3 g+ {8 ^+ [然后重新查看 ip6tables 规则，可以看到如下所示的输出：

% _' T) Z8 z+ A( j/ V. _# ip6tables -vnL --line-numbers
输出示例：
4 w( ^0 Y0 Q; M/ W0 @! o1 A
( X% q! b& S9 i! Y6 r, O. SChain INPUT (policy ACCEPT 0 packets, 0 bytes)
4 ~; `2 O& d( S  p1 |num   pkts bytes target     prot opt in     out     source               destination
1    42237 3243K RH-Firewall-1-INPUT  all      *      *       ::/0                 ::/0
6 ^8 u, C& u3 {4 e" m* b6 i+ d) XChain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 RH-Firewall-1-INPUT  all      *      *       ::/0                 ::/0
/ \8 P5 |( W, iChain OUTPUT (policy ACCEPT 12557 packets, 2042K bytes)
+ |' {4 e+ K4 q& @num   pkts bytes target     prot opt in     out     source               destination
Chain RH-Firewall-1-INPUT (2 references)
num   pkts bytes target     prot opt in     out     source               destination
1        6   656 ACCEPT     all      lo     *       ::/0                 ::/0
+ N8 C0 N2 a2 e* n9 P9 B6 T2    37519 2730K ACCEPT     icmpv6    *      *       ::/0                 ::/0
1 B. W/ c# F/ M. E9 y3        0     0 ACCEPT     esp      *      *       ::/0                 ::/0
8 b7 Y$ J# E( N, N6 b  A. _4        0     0 ACCEPT     ah       *      *       ::/0                 ::/0
5      413 48385 ACCEPT     udp      *      *       ::/0                 ff02::fb/128       udp dpt:5353
6        0     0 ACCEPT     udp      *      *       ::/0                 ::/0               udp dpt:631
7        0     0 ACCEPT     tcp      *      *       ::/0                 ::/0               tcp dpt:631
8      173 79521 ACCEPT     udp      *      *       ::/0                 ::/0               udp dpts:32768:61000
9        0     0 ACCEPT     tcp      *      *       ::/0                 ::/0               tcp dpts:32768:61000 flags:!0x16/0x02
/ a$ p% t& ^( q6 L10       0     0 ACCEPT     tcp      *      *       ::/0                 ::/0               tcp dpt:22
1 A# v( O& }* V2 r# |! R. s, \7 L11       0     0 ACCEPT     tcp      *      *       ::/0                 ::/0               tcp dpt:80
12       0     0 ACCEPT     tcp      *      *       ::/0                 ::/0               tcp dpt:53
' N; f# F) L' n6 }13    4108  380K ACCEPT     udp      *      *       ::/0                 ::/0               udp dpt:53
14      18  4196 REJECT     all      *      *       ::/0                 ::/0
IPv6 私有 IP¶
IPv4 通常默认即可保护内部局域网私有 IP 上的主机（RFC 1918）。但是 IPv6 的地址非常丰富，不再需要使用类似 NAT 等协议的私有网络。这样一来，所有的内部主机都可以拥有公网 IP 而直接连接到互联网，也就同时暴露于互联网上的各种威胁之中了。那么，如何配置 IPv6 防火墙使其默认将除了 ping6 请求之外的所有输入数据包都丢弃呢？

+ E7 z! l$ G7 ]- m( _9 `) u不过，可以使用FC00::/7 前缀来标识本地 IPv6 单播地址。
9 B6 N4 G  }( N7 h' P% h7 M! r4 e
自动配置 IPv6 防火墙示例脚本¶
与处理 IPv4 防火墙类似，我们除了可以通过直接编辑 ip6tables 的保存文件来配置防火墙之外，还可以使用类似下面的脚本来自动执行配置过程。

& A) d6 w3 d& w# \% a#!/bin/bash
IPT6="/sbin/ip6tables"
9 P# g1 Y9 E' h( a% R+ ~PUBIF="eth1"
echo "Starting IPv6 firewall..."
/ u' \  M3 T0 S1 q& h2 O$IPT6 -F
9 Y* c0 P6 }" [1 `& T2 r$ m; c) D$IPT6 -X
$IPT6 -t mangle -F
$IPT6 -t mangle -X
0 a: W  f/ w  t( n- v( P
7 e* p: t- u1 r0 o5 a/ I: b- F#unlimited access to loopback
$IPT6 -A INPUT -i lo -j ACCEPT
$IPT6 -A OUTPUT -o lo -j ACCEPT

# DROP all incomming traffic
  Q8 O' M. F1 M$IPT6 -P INPUT DROP
  u) ]& B7 E0 U$ T' {$IPT6 -P OUTPUT DROP
/ S% b( p# C: j) I$IPT6 -P FORWARD DROP

# Allow full outgoing connection but no incomming stuff
$IPT6 -A INPUT -i $PUBIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT6 -A OUTPUT -o $PUBIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# allow incoming ICMP ping pong stuff
$IPT6 -A INPUT -i $PUBIF -p ipv6-icmp -j ACCEPT
7 I/ F( N8 c$ p. k' a$IPT6 -A OUTPUT -o $PUBIF -p ipv6-icmp -j ACCEPT
9 ~5 x& E: k0 {7 |8 c0 k
############# START 在下面添加上自己的特殊规则 ############
### open IPv6  port 80
#$IPT6 -A INPUT -i $PUBIF -p tcp --destination-port 80 -j ACCEPT
### open IPv6  port 22
#$IPT6 -A INPUT -i $PUBIF -p tcp --destination-port 22 -j ACCEPT
### open IPv6  port 25
#$IPT6 -A INPUT -i $PUBIF -p tcp --destination-port 25 -j ACCEPT
############ END 自己特殊规则结束 ################
. u$ j$ L& N& H  c, y8 ]  u  `
& V6 |3 Z" Q* N" u& h! H& k( e#### no need to edit below ###
! m% E, U! e" H+ R4 q# log everything else
$IPT6 -A INPUT -i $PUBIF -j LOG
+ N. R4 e" }2 B7 h# j- f, M5 S' t$IPT6 -A INPUT -i $PUBIF -j DROP

admin

-A INPUT -j REJECT --reject-with icmp6-adm-prohibited 将会导致外网访问需要icmp6数据的应用失效，最好删除！意思是阻止一切外部发起的icmp6数据访问，如果保留注意其执行顺序！