IPV6 Regeln

ipv4_ipv6

Da IPV6 immer mehr im kommen ist und eindeutig die Zukunft habe ich mir mittlerweile mal über ein paar Firewallregeln Gedanken gemacht. Auf den ersten Blick ist es bei einer kleinen Konfiguration kein großer Mehraufwand, wenn man die Regeln für IPV4 schon hat.
Unter Debian muss man einfach das Modul ip6_tables aktivieren und kann anschließend schon loslegen. Das Modul sollte in jedem Kernel ab 2.6 enthalten sein.

Für eine dauerhafte aktivieren sollte man das Modul in /etc/modules eintragen:

Die Regeln sehen dann wie gewohnt aus mit dem kleinen Unterschied, dass sie nicht mit iptables sondern mit ip6tables beginnen.
Eine Minimalkonfiguration der Regeln sähe wie folgt aus:

Bei dieser Konfiguration werden alle Eingänge und alle Weiterleitungen blockiert sowie alle Ausgänge zugelassen. Die einzige Ausnahme besteht darin, dass die Firewall alle Antworten unserer Anfragen ins Internet herein lässt. Sonst würden wir zwar heraus kommen, aber wir bekämen keine Rückmeldungen mehr.
Die letzten beiden Zeilen dienen dazu die lokale Kommunikation auf dem PC/Server selber uneingeschränkt nutzen zu können.

Anschließend definiert man alle Verbindungen die man explizit erlauben will z.B. den Zugriff per SSH.

Wenn man die Regeln alle in ein Skript speichert sollte man anfangs noch folgende Zeilen hinzufügen, damit alle Regeln am Anfang einmal gelöscht werden.

Viel Spaß beim konfigurieren. 😀

Ich übernehme keinerlei Haftung für Schäden die durch diese Regeln entstehen und garantiere ebenfalls nicht die Vollständigkeit der Regeln.

 

2 Kommentare zu IPV6 Regeln

  1. Erik sagt:

    Hallo Kalle,

    mit den Firewall Regeln bin ich noch nicht so vertraut, ich hoffe die Frage ist nicht zu dumm. 😉

    Du sagst mit der Regel "ip6tables -P OUTPUT ACCEPT" das der Verkehr nach draußen ungehindert fließen darf. Wozu muss dann nochmals das lokale Interface mittels "ip6tables -A INPUT -i lo -j ACCEPT" und "ip6tables -A OUTPUT -o lo -j ACCEPT" freigeschaltet werden? Wird localhost immer extra behandelt?

    Danke.

    • Kalle sagt:

      Moin Erik,

      keine Frage ist dumm. Wenn man die output policy auf accept setzt wie in dem Beispiel ist für das localhost Interface der aller letzte Befehl wirklich nicht nötig.
      Allerdings müssen auch alle Eingänge lokal erlaubt werden. Daher der vorletzte Befehl.
      Falls du noch weitere Fragen hast, darfst du diese natürlich gerne stellen.

      Für die iptables ist jedes Interface erst mal gleich. Sei es lo, eth0, wlan0 etc.

      Gruß
      Kalle

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.