ConiKost Developer
Joined: 11 Jan 2005 Posts: 1365
|
Posted: Sun Jul 05, 2009 9:01 pm Post subject: IPv6 absichern? |
|
|
Moin!
Ich habe auf meinem Router ein IPv6 Tunnel von SiXXS inkl Subnet fürs LAN...
Klappt soweit gut. Jeder Client ist via IPv6 direkt erreichbar.
Ich würde gerne bereits ab dem Router das ganze so lösen, dass IPv6 vom LAN aufgerufen werden kann, aber alle Zugriffe vom Internet zu den IPv6 Clients unterbunden wird. Außer, falls eine Ausnahme gemacht wird, wie Port X zu IP Y durchlassen...
Aber irgendwie kann ich nichts gescheites finden, wie ich sowas direkt auf dem router mit ip6tables absichern kann...
Meine Config sieht so zurzeit aus. Damit scheint nur der Router selbst gesichert zu sein, aber nicht die Clients im LAN. Bin leider, was ip6tables betrifft, recht unerfahren...
Vorschläge, wie ich das realisieren kann? Oder geht das garnicht, sprich ich muss direkt auf den Client blocken?
Code: |
#!/bin/bash
# Interfaces
PPP_IF="ppp0"
SIXXS_IF="tun0"
# IP-Bereiche
LL_IP="fe80::/10"
MC_IP="ff00::/8"
# IPTables
IP6TABLES="/sbin/ip6tables"
# Vorhandene Regeln löschen
$IP6TABLES -F
# Standardverhalten
$IP6TABLES -P OUTPUT ACCEPT
$IP6TABLES -P INPUT DROP
$IP6TABLES -P FORWARD DROP
# RH0 ignorieren
$IP6TABLES -A INPUT -m rt --rt-type 0 -j DROP
$IP6TABLES -A FORWARD -m rt --rt-type 0 -j DROP
$IP6TABLES -A OUTPUT -m rt --rt-type 0 -j DROP
# INPUT
$IP6TABLES -A INPUT -s $LL_IP -j ACCEPT
$IP6TABLES -A INPUT -s $MC_IP -j ACCEPT
$IP6TABLES -A INPUT -p icmpv6 -j ACCEPT
$IP6TABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# FORWARD
$IP6TABLES -A FORWARD -p icmpv6 -j ACCEPT
$IP6TABLES -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
|
|
|