Попытка получить базовую настройку брандмауэра для IPv6 с помощью ip6tables (это на сервере Ubuntu 16.04). В цепочке INPUT всякий раз, когда есть инициируемый клиентом трафик IPv6 (например, при выполнении 'apt update'), я получаю тонны пакетов от того, что я считаю шлюзом: с того же сетевого адреса, что и мой IP-адрес, но заканчивается на :: 1 [64 бита нуля, заканчивающегося на 1]). Если я пропущу этот трафик, все будет работать медленно (например, для (успешного) завершения 'apt update' требуется довольно много времени). Если я впущу эти пакеты, все будет нормально.
Проблема в том, что я довольно много читал о настройке ip6tables, но ничего из того, что я прочитал до сих пор, не упоминает что-либо об этом входящем «шлюзовом» трафике, который не является частью --ctstate ESTABLISHED, RELATED.
Также во время этого туда и обратно я получаю несколько пакетов с локального адреса ссылки (fe08 :: 1), предназначенных для моего фактического общедоступного IP-адреса. Их тоже отбрасывают по моим правилам.
Вот мои правила IPv6:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED
-A INPUT -j LOG --log-prefix "IPv6-DROP="
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT
Очень простая начальная настройка. Если предполагается, что конфигурация IPv6 ПРИНИМАЕТ входящие сообщения от СЕТЕВОГО АДРЕСА :: 1 и от fe08 :: 1, почему на сайтах с учебными руководствами и примерами это не указано? Я получаю эти пакеты только тогда, когда что-то запрашиваю (например, «apt update»). Итак, не должны ли они быть включены в ctstate RELATED, ESTABLISHED? или вот?
Если предполагается, что конфигурация IPv6 ПРИНИМАЕТ входящие сообщения от СЕТЕВОГО АДРЕСА :: 1 и от fe08 :: 1, почему на сайтах с учебными руководствами и в примерах это не указывается?
Как вы уже догадались, fe80::1
это адрес шлюза по умолчанию. Я предполагаю, что в руководствах не указывается, что вам не следует блокировать трафик от шлюза по умолчанию, потому что это настолько очевидно.