とりあえず
とりあえずipv6対応したが実はv6からアクセスするとファイアウォールがユルかったりしたのでとりあえず設定。
こちらはv6環境からアクセスする環境があまり無い事、国別フィルタ等把握しきったアクセス元の情報が無い事等あるため提供サービスを絞る。
ぶっちゃけWeb程度。はい。
# Default Chain
ip6tables -P INPUT DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD DROP
(略)
#----------------------------------------------------------#
# Service Filter #
#----------------------------------------------------------#
ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 443 -j ACCEPT
サービスを最低限に絞って提供。なお、文法もそのままだし、アドレスの書き方さえ間違えなければiptables/ip6tablesも大して変わらない。ただ、何だかんだでプロトコル変わった故かIP層のフラグメントの状態チェックができなかったり、ICMPのステータスが微妙に変わったりしたのか、微妙にオプションが異なる部分もあったので、注意。やっぱりあとはコアにやってくのはipv6をちゃんと知らなきゃ・・・ですね。とりあえず、v4から毛の生えた程度の運用はできそうだ。
Posted by uso8000k
| Categories:
Tech
| [
ツィート(笑)]
| [
]