欢迎来到天天文库
浏览记录
ID:35746305
大小:39.29 KB
页数:10页
时间:2019-04-16
《新增资源及索引表-王辉静项目8拓展资源_RHEL IPv6 ip6tables 防火墙配置简介.docx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、CentOS/RHELIPv6ip6tables防火墙配置简介1上一篇文章介绍了如何使用Netfilter 配置IPv4版的iptables主机防火墙。这一篇文章将介绍基于IPv6的ip6tables基础配置方法。Ip6tables是Linux核心中用于设置、维护和检测IPv6包的过滤规则的程序。使用中请注意IPv4版的是iptables,而IPv6版的是ip6tables。在命令行窗口输入下面的指令就可以查看当前的IPv6防火墙配置:#ip6tables-nL--line-numbers如果看不到任何规则,则需要检查看是否安装
2、/开机自启用ip6tables。/etc/sysconfig/ip6tables文件使用编辑器编辑/etc/sysconfig/ip6tables文件:#vi/etc/sysconfig/ip6tables可能会看到下面的默认ip6tables规则:*filter:INPUTACCEPT[0:0]:FORWARDACCEPT[0:0]:OUTPUTACCEPT[0:0]:RH-Firewall-1-INPUT-[0:0]-AINPUT-jRH-Firewall-1-INPUT-AFORWARD-jRH-Firewall-1-IN
3、PUT-ARH-Firewall-1-INPUT-ilo-jACCEPT-ARH-Firewall-1-INPUT-picmpv6-jACCEPT-ARH-Firewall-1-INPUT-p50-jACCEPT-ARH-Firewall-1-INPUT-p51-jACCEPT-ARH-Firewall-1-INPUT-pudp--dport5353-dff02::fb-jACCEPT-ARH-Firewall-1-INPUT-pudp-mudp--dport631-jACCEPT-ARH-Firewall-1-INPUT-pt
4、cp-mtcp--dport631-jACCEPT-ARH-Firewall-1-INPUT-pudp-mudp--dport32768:61000-jACCEPT-ARH-Firewall-1-INPUT-ptcp-mtcp--dport32768:61000!--syn-jACCEPT-ARH-Firewall-1-INPUT-mtcp-ptcp--dport22-jACCEPT-ARH-Firewall-1-INPUT-jREJECT--reject-withicmp6-adm-prohibitedCOMMIT与IPv4的
5、iptables规则类似,但又不完全相同。要开启80端口(HTTP服务器端口),在COMMIT一行之前(准确说应该是在默认操作之前,下同)添加如下规则:-ARH-Firewall-1-INPUT-mtcp-ptcp--dport80-jACCEPT-ptcp表示仅针对tcp协议的通信。–dport指定端口号。要开启53端口(DNS服务器端口),在COMMIT一行之前添加如下规则:-ARH-Firewall-1-INPUT-mtcp-ptcp--dport53-jACCEPT-ARH-Firewall-1-INPUT-mudp-p
6、tcp--dport53-jACCEPT同时针对tcp和udp协议开启53端口。要开启443端口(HTTPS加密连接服务器端口),在COMMIT一行之前添加如下规则:-ARH-Firewall-1-INPUT-mtcp-ptcp--dport443-jACCEPT要开启25端口(SMTP邮件服务器端口),在COMMIT一行之前添加如下规则:-ARH-Firewall-1-INPUT-mtcp-ptcp--dport25-jACCEPT对于那些没有特定规则与之匹配的数据包,可能是我们不想要的,多半是有问题的。我们可能也希望在丢弃(
7、DROP)之前记录它们。此时,可以将最后一行:-ARH-Firewall-1-INPUT-jREJECT--reject-withicmp6-adm-prohibitedCOMMIT改为:-ARH-Firewall-1-INPUT-jLOG-ARH-Firewall-1-INPUT-jDROPCOMMIT保存并关闭该文件。然后重新启动ip6tables防火墙:#serviceip6tablesrestart然后重新查看ip6tables规则,可以看到如下所示的输出:#ip6tables-vnL--line-numbers输出示例
8、:ChainINPUT(policyACCEPT0packets,0bytes)numpktsbytestargetprotoptinoutsourcedestination1422373243KRH-Firewall-1-INPUTall**::/0::/0C
此文档下载收益归作者所有