如果外部接口仅分配有 IPv4 地址和 IPv6 自动本地链接,设置 ip6tables 是否有意义?我之所以问这个问题,是因为我不确定它究竟是如何工作的。例如,如果使用某种封装技术从仅 IPv6 端点提供 6 对 4 连接,那么在主机入站接口上它会显示为 IPv4 还是 v6 地址?或者只是为了安全起见,丢弃所有 IPv6 输入流量?
答案1
如果您有 IPv4 防火墙,请配置 IPv6 防火墙(如 ip6tables)。不这样做就像在一个空间里开了第二扇门,但您没有锁上,因为您还没有看到任何人使用过它。
了解网络流量并相应地设置防火墙策略。丢弃所有流量可能会造成破坏。最好在接口上禁用 IPv6,因为它根本不会提取地址。
制定 IPv6 地址计划并加以利用则更好。您可以为站点和区域创建逻辑布局的子网,然后在此基础上设置防火墙。