An ninh mạng: Tăng cường IPv6 trên Ubuntu Server?

Tôi đã quen với việc tăng cường IPv4 trên máy chủ Ubuntu, nhưng khi tôi sử dụng các quy tắc tương tự cho IPv6 với ip6tables, kết nối IPv6 bị mất dẫn đến Điểm đến không thể truy cập: Địa chỉ không thể truy cập lỗi trong khi ping. Bạn có thể vui lòng tư vấn về cách khắc phục vấn đề này? Logic của tôi là như sau:

#IPv6
#Đặt lại tất cả các quy tắc (F) và chuỗi (X)
ip6tables -F
ip6tables -X

#Force kiểm tra gói SYN
ip6tables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Gói #Drop XMAS
ip6tables -A INPUT -p tcp --tcp-flags TẤT CẢ TẤT CẢ -j DROP
#Drop gói rỗng
ip6tables -A INPUT -p tcp --tcp-flags TẤT CẢ KHÔNG CÓ -j DROP
#Drop các gói đến với các đoạn
#ip6tables -A INPUT -f -j DROP #điều này không thực sự hoạt động như trong iptables

#giảm lưu lượng truy cập 
ip6tables -t bộ lọc -P INPUT DROP
ip6tables -t filter -P FORWARD DROP
ip6tables -t bộ lọc -P OUTPUT DROP
#Giữ thành lập
ip6tables -A INPUT -m state --state LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
ip6tables -A OUTPUT -m state --state LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
# Chấp nhận lặp lại
ip6tables -t filter -A INPUT -i lo -j CHẤP NHẬN
ip6tables -t filter -A OUTPUT -o lo -j CHẤP NHẬN

#ICMP
ip6tables -t filter -A INPUT -p icmp -j CHẤP NHẬN
ip6tables -t filter -A OUTPUT -p icmp -j CHẤP NHẬN

#Dịch vụX
ip6tables -t filter -A DESTINATION -p PROTOCOL --dport PORT -j CHẤP NHẬN
#Dịch vụY
ip6tables -t filter -A DESTINATION -p PROTOCOL --dport PORT -j CHẤP NHẬN
#Dịch vụZ
ip6tables -t filter -A DESTINATION -p PROTOCOL --dport PORT -j CHẤP NHẬN
...

Ví dụ cho máy chủ ssh, mặc dù tôi không bao giờ sử dụng cổng mặc định 22...

#SSH
ip6tables -t filter -A INPUT -p tcp --dport 22 -j CHẤP NHẬN
ip6tables -t filter -A OUTPUT -p tcp --dport 22 -j CHẤP NHẬN

Tập lệnh được tạo thành tệp thực thi, do đó, tập lệnh sẽ chạy qua các lần khởi động lại trong /etc/init.d/scriptname. Ý tưởng là chặn mọi thứ và chỉ cho phép những gì thực sự được biết là được sử dụng bởi các dịch vụ máy chủ. Bất kỳ cách tiếp cận tốt hơn, xin vui lòng? Tại sao điều này hoạt động trong IPv4, nhưng không hoạt động trong IPv6? Khi tôi phát hành ip6tables -t bộ lọc -P INPUT CHẤP NHẬN nó hoạt động, nhưng đó không phải là vấn đề. Làm cách nào để tôi thực sự bảo mật IPv6 trên máy chủ Ubuntu? Cảm ơn!

Dựa trên chức năng IPv6, bạn cần thêm một số quy tắc CHẤP NHẬN cho ICMPv6, hãy thử các quy tắc sau:

ip6tables -A INPUT -p icmpv6 --icmpv6-type 1 -j CHẤP NHẬN
ip6tables -A INPUT -p icmpv6 --icmpv6-type 2 -j CHẤP NHẬN
ip6tables -A INPUT -p icmpv6 --icmpv6-type 3 -j CHẤP NHẬN
ip6tables -A INPUT -p icmpv6 --icmpv6-type 4 -j CHẤP NHẬN
ip6tables -A FORWARD -i $WAN_IF -p icmpv6 --icmpv6-type 1 -j CHẤP NHẬN
ip6tables -A FORWARD -i $WAN_IF -p icmpv6 --icmpv6-type 2 -j CHẤP NHẬN
ip6tables -A FORWARD -i $WAN_IF -p icmpv6 --icmpv6-type 3 -j CHẤP NHẬN
ip6tables -A FORWARD -i $WAN_IF -p icmpv6 --icmpv6-type 4 -j CHẤP NHẬN
# Bộ định tuyến và phát hiện hàng xóm đến và đi
ip6tables -A INPUT -p icmpv6 --icmpv6-type 133 -j CHẤP NHẬN
ip6tables -A INPUT -p icmpv6 --icmpv6-type 134 -j CHẤP NHẬN
ip6tables -A INPUT -p icmpv6 --icmpv6-type 135 -j CHẤP NHẬN
ip6tables -A INPUT -p icmpv6 --icmpv6-type 136 -j CHẤP NHẬN
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type 133 -j CHẤP NHẬN
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type 134 -j CHẤP NHẬN
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type 135 -j CHẤP NHẬN
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type 136 -j CHẤP NHẬN
# Ping yêu cầu tường lửa từ LAN và DMZ
ip6tables -A ĐẦU VÀO! -i $WAN_IF -p icmpv6 --icmpv6-type 128 -j CHẤP NHẬN
# Yêu cầu Ping từ tường lửa, LAN và DMZ
ip6tables -A OUTPUT -p icmpv6 --icmpv6-type 128 -j CHẤP NHẬN
ip6tables -HÃY HƯỚNG TỚI! -i $WAN_IF -p icmpv6 --icmpv6-type 128 -j CHẤP NHẬN

Tôi thấy bài viết này rất hữu ích cho bản thân mình: Bảng IPv6

ip6tables -t filter -A INPUT -p ipv6-icmp -j CHẤP NHẬN
ip6tables -t filter -A OUTPUT -p ipv6-icmp -j CHẤP NHẬN

thay vì

ip6tables -t filter -A INPUT -p icmp -j CHẤP NHẬN
ip6tables -t filter -A OUTPUT -p icmp -j CHẤP NHẬN

giải quyết nó.