В CentOS 6 ip6tables буквально кошмар на этой машине.
Имея
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
с участием
ip6tables -A INPUT -p tcp -m multiport ! --dports 21,22,80,443 -j DROP
ip6tables -A INPUT -p udp -m multiport ! --dports 21,22,80,443 -j DROP
ip6tables -A INPUT ! -p ipv6-icmp -j DROP
ip6tables -A OUTPUT -p tcp -m multiport ! --dports 21,22,80,443 -j DROP
ip6tables -A OUTPUT -p udp -m multiport ! --dports 21,22,80,443 -j DROP
ip6tables -A OUTPUT ! -p ipv6-icmp -j DROP
или если перевернуть верх и низ, все равно не помогает.
таблицы IP6 либо блокируют все порты, либо разрешают ввод / вывод всех. Я сбросил ip6tables, чтобы убедиться, что в них нет правил, прежде чем устанавливать эти правила.
Все, что требуется, - это разрешить весь трафик и запретить несколько портов для входа / выхода для обоих tcp / udp.
Вышеуказанные порты служат только для примера.
Спасибо.
РЕДАКТИРОВАТЬ: достиг лучшей стадии, но не работает с инверсиями
ip6tables -F
ip6tables -X
ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -I FORWARD -j DROP --protocol tcp -m multiport --dports 22,80,443
Вы сделали это:
# Drops all incoming TCP that's not directed to these ports,
# Preventing also answers for locally initiated connections!
ip6tables -A INPUT -p tcp -m multiport ! --dports 21,22,80,443 -j DROP
# Drops all incoming UDP that's not directed to these ports,
# Preventing also answers for locally initiated connections!
ip6tables -A INPUT -p udp -m multiport ! --dports 21,22,80,443 -j DROP
# Drop everything that's not icmp6, including UDP and TCP traffic
# that was allowed to pass earlier, making them obsolete.
ip6tables -A INPUT ! -p ipv6-icmp -j DROP
(повторить для OUTPUT
)
Обычно вы ACCEPT
все, что вы хотите позволить, а затем вы бросаете.
ip6tables -P INPUT DROP
ip6tables -A INPUT -p tcp -m multiport --dports 21,22,80,443 -j ACCEPT
ip6tables -A INPUT -p udp -m multiport --dports 21,22,80,443 -j ACCEPT
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
Я бы не стал фильтровать исходящий трафик, если для этого нет веской причины.