我有一个合规性测试,要求我根据 RFC 2460 响应无法识别的下一个标头。我正在运行 debian 3.16 内核。我当前的防火墙实现默认情况下根据 DROP 的 INPUT 规则丢弃这些帧,除非匹配。我有一些匹配规则,但它们非常特定于我想要允许通过的项目。由于这是一个非常普通的框架,如果我允许所有无法识别的流量,那么拥有防火墙有什么意义呢?我在 ip6tables 上看到了一个手册页,它允许进行一些标头过滤,但我的 ip6tables 1.4.21 版本不允许。
有没有一种简单的方法可以在不完全打开防火墙的情况下允许这种特定的流量?