У меня есть тест на соответствие, который требует, чтобы мой узел отвечал на нераспознанные следующие заголовки согласно RFC 2460. Я использую ядро debian 3.16. Моя текущая реализация брандмауэра отбрасывает эти кадры в соответствии с правилом INPUT DROP по умолчанию, если они не совпадают. У меня есть несколько правил соответствия, но они очень специфичны для предметов, которые я хочу пропустить. Поскольку это довольно ванильный фрейм, если я разрешаю весь нераспознанный трафик, тогда какой смысл иметь брандмауэр? Я видел страницу руководства по ip6tables, которая разрешает некоторую фильтрацию заголовков, но моя версия ip6tables 1.4.21 этого не делает.
Есть ли простой способ разрешить этот конкретный трафик, не открывая полностью брандмауэр?
Полное раскрытие информации: я думал сначала задать этот вопрос здесь, но сначала я спросил на форуме UNIX с небольшим трафиком и без ответа, поэтому я перешел в Network Engineering, и мне сказали задать его здесь.
Вы можете попробовать это:
ip6tables -A INPUT -m ipv6header --soft --header hop, dst, route, frag, auth, esp, none, prot -j ACCEPT
Предполагая, что в iptables скомпилирован модуль ipv6header, эта команда должна соответствовать большинству случаев следующего заголовка и выполнять ACCEPT.