Linkedin: linkedin.com/in/randytenhave
Kan ik ip6tables en iptables wel naast elkaar draaien?
Of zie ik het geheel verkeerd.. ben nog nieuw met dit alles..
Linkedin: linkedin.com/in/randytenhave
Een bash script en de output, met enkel SSH aan op IPv6. Even snel in elkaar gezet en niet goed getest. Maar als je niet weet wat dit doet, moet je het zeker niet gebruiken .
De output van ip6tables -LCode:#!/bin/sh # My system IP/set ip address of server SERVER_IP="2001:968:182::1337" # Flushing all rules ip6tables -F ip6tables -X # Setting default filter policy ip6tables -P INPUT DROP ip6tables -P OUTPUT DROP ip6tables -P FORWARD DROP # Allow unlimited traffic on loopback ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A OUTPUT -o lo -j ACCEPT # Allow incoming ssh only ip6tables -A INPUT -p tcp -s 0/0 -d $SERVER_IP --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT ip6tables -A OUTPUT -p tcp -s $SERVER_IP -d 0/0 --sport 22 --dport 513:65535 -m state --state ESTABLISHED -j ACCEPT # make sure nothing comes or goes out of this box ip6tables -A INPUT -j DROP ip6tables -A OUTPUT -j DROP
Kan een mod deze trouwens verplaatsen naar het IPv6 deel van het forum, makkelijker voor de mensen die hier specifiek op zoeken denk ik.Code:Chain INPUT (policy DROP) target prot opt source destination ACCEPT all anywhere anywhere ACCEPT tcp anywhere 2001:968:182::1337/128tcp spts:login:65535 dpt:ssh state NEW,ESTABLISHED DROP all anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all anywhere anywhere ACCEPT tcp 2001:968:182::1337/128 anywhere tcp spt:ssh dpts:login:65535 state ESTABLISHED DROP all anywhere anywhere
Linkedin: linkedin.com/in/randytenhave
Ik krijg een error bij:
ip6tables -A INPUT -p tcp -s 0/0 -d $SERVER_IP --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
Bad argument `513:65535'
Try `ip6tables -h' or 'ip6tables --help' for more information.
Tot daar ben ik dan ook blijven hangen..
Komt dit door SERVER_IP="2001:968:182::1337" want daar heb ik niks mee gedaan omdat ik dacht dat je daarmee wou zeggen dat dat je ipv6 adres is.. dus daar heb ik niks mee gedaan.
Ik heb nu
-bash-3.2# ip6tables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all anywhere anywhere
Als ik het goed lees.. dan kan er nu dus niks binnen of uitgaan? Dus dan is die voorlopig dicht en veilig zo..?
Ik had MIJN ip laten staan, in de hoop dat je zou snappen wat dit script doet. Helaas blijkt dit niet het geval. Je wou ALLE poorten op IPv6 blokkeren. Dat zou inhouden, dat je de variabele SERVER_IP kunt escapen (of in ieder geval de moeite had kunnen doen hier je eigen IPv6 adres neer te zetten) en de twee allow-regels voor SSH uit had kunen zetten door deze ook te escapen.
Regel 3, 15 en 16 dus escapen door er een # voor te zetten.
Linkedin: linkedin.com/in/randytenhave
Excuus ik ben beginneling.. maar inderdaad die regels had ik al overgeslagen.. alleen regels 18 en 19 moet ik nog even intikken! Dat ga ik nu doen..ik had er geen bash van gemaakt maar gewoon met de hand ingetikt bij putty.. Maar goed misschien dat ik die SSH regels wel ga plaatsen en dan vervang ik die variabele met mijn eigen ip adres.. (wat wel vrij logisch is natuurlijk)