আমি যদি কেবল iptables ব্যবহার করি তবে আইপিভি 6-র জন্য অন্য আইপটবেল বিধিগুলিও স্থাপন করা দরকার?


21

বলুন আমি আমার লিনাক্স সার্ভারে iptables সহ ফায়ারওয়াল সেটআপ করেছি যাতে আমি কেবল পোর্ট 22 এবং পোর্ট 80 ট্র্যাফিক গ্রহণ করি এবং আমি অন্য সমস্ত পোর্টে অ্যাক্সেস আটকে রাখি।

ক্লায়েন্ট মেশিন যদি আইপিভি 4 ঠিকানা ব্যবহার করে তবেই কি এই নিয়মগুলি কার্যকর হয়? সুতরাং যদি কোনও আইপিভি 6 ঠিকানা ব্যবহার করা হয়, ক্লায়েন্ট পোর্টগুলি অ্যাক্সেস করতে পারে আমি তাদের চাই না? (অর্থাত পোর্ট ২২ এবং পোর্ট ৮০ ব্যতীত অন্যান্য বন্দর)


আপনি উত্তরগুলির কোনওটি ব্যবহারযোগ্য হিসাবে চিহ্নিত করেন নি। তোমার ওটা করা উচিত. ;-)
অ্যান্ডার্স

উত্তর:


21

iptablesIPv4 এর জন্য কাজ করে তবে IPv6 নয়। ip6tablesসমতুল্য IPv6 ফায়ারওয়াল, এবং এটি ইনস্টল করা হয় iptables

শেষ পর্যন্ত iptablesআইপিভি 4 সংযোগের জন্য , যদিও আইপিভি ip6tables6 সংযোগের জন্য। আপনি যদি চান যে আপনার iptablesবিধিগুলি আইপিভি 6-তেও প্রয়োগ হয় তবে আপনাকে সেগুলিও যুক্ত করতে হবে ip6tables


আপনি যদি নিজের iptablesরুলসেটটি চেষ্টা করে এবং এটিকে প্রতিলিপি করেন ip6tablesতবে iptablesকরতে পারেন এমন সমস্ত নিয়মগুলি খুব সুন্দরভাবে পোর্ট হবে না ip6tables, তবে তাদের বেশিরভাগই তা করবে।

পড়ুন জন্য র manpageip6tables আপনি যে আপনি আপনার ব্যবহার নিশ্চিত কমান্ড করতে চাই iptablesসুন্দরভাবে বন্দর উপর ইচ্ছা।


আপনি যদি চান, আমরা আপনাকে আপনার ফায়ারওয়াল বিধি তালিকা সরবরাহ করিলে (করিউজ সিস্টেম চিহ্নিত করতে পারে এমন কোনও তথ্য সরিয়ে) ip6tablesআপনার iptablesবিধিগুলির সাথে মেলে সমপরিমাণ রুলসেটগুলি তৈরি করতে সহায়তা করতে পারি । অন্যথায়, আমরা কেবল আপনার সাধারণ প্রশ্নের উত্তর দিতে পারি।


10
তখন কি এই ধরণের হাস্যকর নয়? স্পষ্ট করার জন্য, ঠিক এখনই সার্ভারে আমার সমস্ত পোর্টগুলি আইপিভি 6 ঠিকানাটির সাথে সংযোগকারী যে কোনও ব্যক্তির জন্য প্রশস্ত?
ব্যবহারকারী230779

3
@ user230779 আমি সম্মত হই যে এটি "হাস্যকর" তবে এই কারণেই ufwএবং অন্যান্য ফায়ারওয়াল পরিচালকদের উপস্থিত রয়েছে, সে অনুযায়ী তারা উভয়টিতেই বিধি যুক্ত করে। সমস্যাটি এখানে, যদিও, "আইপিভি 6 সহ কেউ আমার সাইট দেখতে পাবে না?" আপনার সিস্টেমে IPv6 ঠিকানা রয়েছে কিনা তা সবচেয়ে বড় সমস্যা। বেশিরভাগ সংযোগে আমার মতো ক্লায়েন্ট কম্পিউটার থেকে আইপিভি 4 এবং আইপিভি 6 রয়েছে। তবে যদি রিমোট সার্ভারের এমন কোনও IPv6 নেই যা জনসাধারণের মুখোমুখি হয় তবে আইপিভি 4 সংযুক্ত থাকে। আমি এটি বুঝতে পারি, যদিও, আপনার যদি আইপিভি 6 থাকে তবে আপনার নিয়মগুলিও যুক্ত করা উচিত ip6tables
টমাস ওয়ার্ড

1
@ user230779 আমি এমন একটি স্ক্রিপ্ট তৈরি করতে পারলাম যা iptablesAND এর জন্য একই কমান্ড কার্যকর করতে চাই ip6tablesএবং সাধারণ নিয়মগুলি -p tcp --dportএখনও কার্যকর হবে তবে আরও জটিল নিয়মগুলি নাও পারে ... (যেমন -j REJECT --reject-with [something])
টমাস ওয়ার্ড

টমাস আপনি কি আমাকে একটি অ্যাপাচি ওয়েবসার্ভারের জন্য নিরাপদ আইপি 6 টেবিলের উদাহরণের সাথে লিঙ্ক করতে পারেন?
ব্যবহারকারী230779

1
@ ব্রায়াম পতাকাগুলির বিষয়ে কখনও কিছু বলেনি। কিছু কমান্ড কাজ করবে না ( -j REJECT --reject-with icmp-host-prohibitedউদাহরণস্বরূপ, কারণ প্রত্যাখ্যান করা প্যাকেট আইপিভি 6-তে একটি আলাদা নাম)
টমাস ওয়ার্ড

3

অন্যরা ইতিমধ্যে আপনাকে জানিয়েছে, আইপিভি 4 এবং আইপিভি 6 এর জন্য বিভিন্ন ফায়ারওয়াল সারণী রয়েছে। আপনি আইপিভি for এর মতো আইপিভি for এর জন্য বিধি তৈরি করতে পারতেন, তবে আইপিভি you'll না জানলে আপনার খুব খারাপ ঝুঁকি রয়েছে। পছন্দ করুন, আপনি ICMPআইপিভি 6 এর জন্য ড্রপ করতে পারবেন না , কারণ সেখানে প্রয়োজনীয় হ্যান্ডশেক অংশ রয়েছে। প্রেরককে বলার মতো যে ফ্রেমগুলি বড় আকারের etc. ইত্যাদি those জিনিসগুলি ছাড়া আইপিভি 6 কিছু ব্যবহারকারীর পক্ষে কাজ বন্ধ করে দিতে পারে।

সুতরাং এটি একত্রে ufwপ্যাকেজটি ব্যবহারের বা দৃ strongly়তার সাথে সুপারিশ করবে । ফ্রন্টএন্ড সমর্থন IPv4 ও IPv6 উভয়ের এবং এক বা দুই ইন্টারফেস সহ সার্ভারে কাজ করে মহান কিন্তু রুট ট্রাফিক (একটি রাউটার বা গেটওয়ে হিসেবে) না। আপনি যদি ট্র্যাফিকের পথে যান, আপনার আরও ভাল কিছু দরকার যেমন বা ম্যানুয়ালি এবং এর সাথে ফরওয়ার্ড করার জন্য কিছু নিয়ম যুক্ত করুন ।shorewall6shorewalliptablesufwshorewalliptablesip6tables

আপনার ইন্টারফেসে একাধিক IPv6 ঠিকানা থাকতে পারে তা ভুলে যাবেন না। কিছু কেবল স্থানীয় লিঙ্ক, কিছু বিশ্বব্যাপী স্থির এবং গতিশীল। সুতরাং আপনার সেই অনুযায়ী নিয়মগুলি সেট আপ করা উচিত এবং সার্ভারগুলি কেবল সঠিক ঠিকানায় শুনছে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.