我有一个合规性测试,要求我的节点根据 RFC 2460 响应无法识别的下一个标头。我正在运行 debian 3.16 内核。我当前的防火墙实现是按照默认情况下的 DROP INPUT 规则丢弃这些帧,除非匹配。我有一些匹配规则,但它们非常具体地针对我想要允许通过的项目。由于这是一个非常普通的帧,如果我允许所有无法识别的流量,那么防火墙的意义何在?我看到 ip6tables 上的手册页允许一些标头过滤,但我的 ip6tables 1.4.21 版本不允许。
有没有一种简单的方法可以允许这种特定的流量而无需完全打开防火墙?
全面披露:我考虑过首先在这里提出这个问题,但是我首先在 UNIX 论坛上提问,因为访问量很少而且没有回应,所以我转到网络工程论坛,并被告知在这里提问。
答案1
你可能想尝试一下:
ip6tables -A 输入 -m ipv6header --soft --header hop,dst,route,frag,auth,esp,none,prot -j 接受
假设 iptables 已经编译了 ipv6header 模块,这个命令应该匹配大多数下一个头的情况并执行 ACCEPT。