uso8000k.net

とりあえず

とりあえずipv6対応したが実はv6からアクセスするとファイアウォールがユルかったりしたのでとりあえず設定。 こちらはv6環境からアクセスする環境があまり無い事、国別フィルタ等把握しきったアクセス元の情報が無い事等あるため提供サービスを絞る。 ぶっちゃけWeb程度。はい。

# Default Chain
ip6tables -P INPUT   DROP
ip6tables -P OUTPUT  ACCEPT
ip6tables -P FORWARD DROP

(略)

#----------------------------------------------------------#
# Service Filter                                           #
#----------------------------------------------------------#
ip6tables -A INPUT -p tcp --dport 80   -j ACCEPT
ip6tables -A INPUT -p tcp --dport 443  -j ACCEPT

サービスを最低限に絞って提供。なお、文法もそのままだし、アドレスの書き方さえ間違えなければiptables/ip6tablesも大して変わらない。ただ、何だかんだでプロトコル変わった故かIP層のフラグメントの状態チェックができなかったり、ICMPのステータスが微妙に変わったりしたのか、微妙にオプションが異なる部分もあったので、注意。やっぱりあとはコアにやってくのはipv6をちゃんと知らなきゃ・・・ですね。とりあえず、v4から毛の生えた程度の運用はできそうだ。