Какие настройки брандмауэра я должен добавить в свой (Linux) туннель 6to4, чтобы предотвратить подмену вредоносного IP-адреса?
Ответ, который вам не понравится: очень сложно защитить себя от спуфинга, когда вы не можете знать, какие адреса можно принимать.
6to4 принимает IPv6-адрес, который маршрутизируется на транслятор 6to4, который затем направляет его обратно на ваш IPv4-адрес. Кроме проверки, чтобы убедиться, что входящий адрес принадлежит вам, вы мало что можете сделать с точки зрения фильтрации против спуфинга.
Однако, как только вы получите пакет, вы все равно должны продолжать применять к нему стандартные правила брандмауэра. Когда он попадет в ваш ящик, он по-прежнему будет TCP-потоком или UDP-пакетом, и хорошим местом для начала будет любая фильтрация, которую вы делаете на стороне IPv4.