在我们的 Ubuntu 服务器上,ipv4 和 ipv6 已启用。到目前为止,我们已经采取了这些步骤。
- 启用 iptables 和 ip6tables
- 将规则从 iptables 精确复制到 ip6tables
我们需要对 ip6tables 进行额外的调整吗?
假设我们的服务器针对 ipv4 进行了强化,我们是否需要针对 ipv6 进行额外的更改?
答案1
如果您以与设置 iptables 相同的方式设置 ip6tables,则应该没有问题。只需确保netstat -l
您不会意外地让服务在 IPv6 接口上侦听而不侦听 IPv4,因此忘记将其包含在 ip6tables 设置中。
如果您担心开放端口,我建议您使用 IPv4 的常规选项运行 nmap,并将其与 IPv6 nmap 扫描进行比较,确保它们都为您提供所需的结果。
答案2
如果您无法获取公共地址,IPv6 将被限制为链接本地地址。这些地址仅限于本地链接,并且应该比可在站点内路由的私有 IPv4 范围稍微安全一些。IPv6 等效地址是站点本地地址,但这些地址已被弃用。
防火墙 IPv6 ip6tables
,就像 IPv4 一样iptables
。岸墙防火墙工具可以配置为锁定 IPv6,或者可以使用其 Shorewall6 版本构建 IPv6 防火墙。IPv6 需要比 IPv4 多几种类型才能正常工作。 shorewall
并shorewall6
在与示例配置一起使用时启用两者的最小类型。您可以选择启用其他类型。
IPv6 会自动配置,因此如果存在分配公共地址的风险,则限制传入访问非常重要。从好的方面来看,如果启用了隐私扩展,您的地址将每隔几个小时更改一次,因此您的 IPv6 地址只会在几个小时内处于危险之中,之后就会被其他地址替换。有权访问您的流量的人仍然能够识别您的地址并尝试扫描开放端口。任何网络上的 IPv6 地址范围都很大,扫描网络以查找主机并不实用。