Skocz do zawartości
Zaloguj się, aby obserwować  
Obserwujący 0
Nmar

Ipv6 - kilka pytań nt. zabezpieczeń

Przez Nmar, w Bezpieczeństwo

Polecane posty

Nmar    9

Nmar
Napisano (edytowany)

Witam, korzystam z Ipv4 i zastanawiam się co zrobic z nieużywanym ipv6 (mam kilka takich adresów do dyspozycji), w ifconfig jest widoczny taki adres. W panelu mam opcje żeby kazdy z nich wyłączyć - więc myślę, że to rozwiąże problem z ich zabezpieczeniem ;) ale tak z ciekawości chciałbym zapytać jak wygląda ta kwestia jesli ktoś korzysta jednoczećnie zarówno z a ipv4 oraz ipv6. Rozumiem, że trzeba doinstalować ip6tables i skonfigurowac równolegle z iptables tak ?

Edytowano przez Nmar (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość patrys   

Gość patrys
Napisano

Nie ma żadnych problemów z zabezpieczeniem, choć faktycznie najlepszym sposobem jest wyłączenie protokołu.

Na początek sprawdź czy działa połączenie via ipv6: np. ping6 ipv6.patrys.pl

Następnie zobacz czy jakaś usługa słucha na ipv6: netstat -ntl | grep ipv6

Jeżeli coś działa, to zostają dwie opcje:

- zmiana konfiguracji na prace tylko po ipv4.

- ustawienie podobnych reguł jak w iptables, ale z użyciem ip6tables.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Pan Kot    1535

Pan Kot
Napisano

Tak naprawdę najprostsza i najbezpieczniejsza będzie opcja zwykłego copy/paste rulesów z IPv4 do IPv6 (iptables => ip6tables) - masz pewność, że żadna aplikacja obecna i żadna w przyszłości sama tego "nie zmieni", a dodatkowo działający firewall na ten i wiele innych wariantów.

 

Ja osobiście darzę iptables wielką sympatią, ale nie bez powodu ostatnio się przesiadłem na CSF - robi wszystko to, co sobie zażyczę i dodatkowo jest przy tym mniej roboty, polecam jeśli masz możliwość potestować.

 

A jeśli nie to prosty skrypt bashowy, np. taki:

ipt = iptables

for (( i=1; $i <= 2; i++ )) ; do
$ipt -A INPUT -j ACCEPT
...
...
ipt = ip6tables
done

 

;)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Nmar    9

Nmar
Napisano (edytowany)

Tak naprawdę najprostsza i najbezpieczniejsza będzie opcja zwykłego copy/paste rulesów z IPv4 do IPv6 (iptables => ip6tables) - masz pewność, że żadna aplikacja obecna i żadna w przyszłości sama tego "nie zmieni", a dodatkowo działający firewall na ten i wiele innych wariantów.

 

Ja osobiście darzę iptables wielką sympatią, ale nie bez powodu ostatnio się przesiadłem na CSF - robi wszystko to, co sobie zażyczę i dodatkowo jest przy tym mniej roboty, polecam jeśli masz możliwość potestować.

 

A jeśli nie to prosty skrypt bashowy, np. taki:

ipt = iptables

for (( i=1; $i <= 2; i++ )) ; do
$ipt -A INPUT -j ACCEPT
...
...
ipt = ip6tables
done

 

;)

 

W przypadku ip6tables też trzeba w katalogu bodajże network tworzyć skrypt, żeby ładowało przy starcie regułki czy wykorzysta ten do zwykłego iptables? a jeśli chodzi o csf to z tego co wiem on natywnie wspolpracuje z ipv6 wiec chyba wystarcy zainstalowac ip6tables i uaktywnic opcje dototyczace ipv6 w csf.conf tak? Dzięki za pomoc patrys i archi.

Edytowano przez Nmar (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Pan Kot    1535

Pan Kot
Napisano

Ja na starej maszynce nie korzystałem z żadnego iptables-save czy restore tylko zwykłego skryptu iptables.sh ładowane z poziomu rc.local, który flushował rulesy i ustawiał nowe.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0
Przejdź do listy tematów Bezpieczeństwo
×