Ip6tables-tulemüür
Allikas: Pingviini viki
Tulemüüriskript IPv6 ühenduste jaoks. Võrreldes IPv4 skriptiga on erinevus minimaalne.
#!/bin/sh #Kustutame ära kõik olemasolevad reeglid ja ahelad ip6tables -F ip6tables -X # Määrame vaikereeglistiku. Kui edaspidi ei ole reegleid, # mis väidaksid vastupidist, siis lubatakse ainult väljaminevad # paketid. ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT ACCEPT # Ignoreerime pakke, mis on mingil põhjusel vigased ja logime need ip6tables -A INPUT -m state --state INVALID -j LOG --log-prefix " IPv6 INPUT invalid: " ip6tables -A INPUT -m state --state INVALID -j DROP # Lubame kohalikud sissetulevad paketid ip6tables -A INPUT -i lo -j ACCEPT # Kui sissetulev pakett eksisteerib, kui me tulemüüri käivitame või # on seotud olemasolevaga, siis lubame ühenduse. Kui seda reeglit pole, # siis interneti põhimõtteliselt kasutada ei saa, kuna eelnevalt keelasime # kõik sissetulevad paketid. ip6tables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # Port 113 kinni, et irc ei uimerdaks #ip6tables -A INPUT -p tcp --dport 113 -j LOG --log-prefix " Ipv6 identd " ip6tables -A INPUT -p tcp --dport 113 -j REJECT ip6tables -A INPUT -p udp --dport 113 -j REJECT # Avame pordi 55555 # -i eth0 võib asendada mingi muu liidesega või üldse ära jätta. ip6tables -A INPUT -p tcp -i 6in4 --dport 55555 -j ACCEPT #ip6tables -A INPUT -p udp -i eth0 --dport 55555 -j ACCEPT # Esimene reegel lubab pingida sisevõrgust ilma piirangudeta. # Teine reegel lubab esimese 5 ICMP paketti olenemata nende saabumise # kiirusest, pärast seda ainult pakett per sekund. # Kolmas reegel ütleb, et kõik, mis ei mahu esimese kahe reegli alla, tuleb # maha lüüa. #ip6tables -A INPUT -p icmp -m iprange --src-range 192.168.1.60-192.168.1.65 -j ACCEPT ip6tables -A INPUT -p ipv6-icmp -m limit --limit 10/m --limit-burst 5 -j ACCEPT ip6tables -A INPUT -p ipv6-icmp -j LOG --log-prefix " IPv6 Jube ping: " ip6tables -A INPUT -p ipv6-icmp -j DROP # Logime juhud, mis ei mahu eelnevate reeglite alla # Logi kirjutatakse /var/log/messages faili ip6tables -A INPUT -j LOG --log-prefix " IPv6 INPUT DROP: " # Logime FORWARD INVALID paketid ja DROPime need ip6tables -A FORWARD -m state --state INVALID -j LOG --log-prefix " IPv6 FORWARD invalid: " ip6tables -A FORWARD -m state --state INVALID -j DROP # Logime FORWARD DROP juhud ip6tables -A FORWARD -j LOG --log-prefix " IPv6 FORWARD DROP: " # Logime OUTPUT INVALID paketid ja DROPime need # ip6tables -A OUTPUT -m state --state INVALID -j LOG --log-prefix " OUTPUT invalid: " ip6tables -A OUTPUT -m state --state INVALID -j DROP #EOF
