ipv6 安全防护

最新推荐文章于 2023-01-12 14:00:00 发布
最新推荐文章于 2023-01-12 14:00:00 发布
阅读量3.5k 收藏
点赞数
分类专栏: IPv6 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ttood/article/details/121031445
版权 
#!/bin/bash
# Set of prefixes on the trusted ("inner") side of the firewall
export INNER_PREFIXES="2001:DB8:85::/60"
# Set of hosts providing services so that they can be made pingable
export PINGABLE_HOSTS="2001:DB8:85::/64"
# Configuration option: Change this to 1 if errors allowed only for
# existing sessions
export STATE_ENABLED=0
# Configuration option: Change this to 1 if messages to/from link
# local addresses should be filtered.
# Do not use this if the firewall is a bridge.
# Optional for firewalls that are routers.
export FILTER_LINK_LOCAL_ADDRS=0
# Configuration option: Change this to 0 if the site does not support
# Mobile IPv6 Home Agents - see Appendix A.14
export HOME_AGENTS_PRESENT=1
# Configuration option: Change this to 0 if the site does not support
# Mobile IPv6 mobile nodes being present on the site -
# see Appendix A.14
export MOBILE_NODES_PRESENT=1

ip6tables -N icmpv6-filter
ip6tables -A FORWARD -p icmpv6 -j icmpv6-filter

# Match scope of src and dest else deny
# This capability is not provided for in base ip6tables functionality
# An extension (agr) exists which may support it.
#@TODO@
# ECHO REQUESTS AND RESPONSES
# ===========================
# Allow outbound echo requests from prefixes which belong to the site
for inner_prefix in $INNER_PREFIXES
do
    ip6tables -A icmpv6-filter -p icmpv6 -s $inner_prefix \
    --icmpv6-type echo-request -j ACCEPT
done

# Allow inbound echo requests towards only predetermined hosts
for pingable_host in $PINGABLE_HOSTS
do
    ip6tables -A icmpv6-filter -p icmpv6 -d $pingable_host \
    --icmpv6-type echo-request -j ACCEPT
done

if [ "$STATE_ENABLED" -eq "1" ]
then
    # Allow incoming and outgoing echo reply messages
    # only for existing sessions
    ip6tables -A icmpv6-filter -m state -p icmpv6 \
        --state ESTABLISHED,RELATED --icmpv6-type \
    echo-reply -j ACCEPT
else

    # Allow both incoming and outgoing echo replies
    for pingable_host in $PINGABLE_HOSTS
    do
    # Outgoing echo replies from pingable hosts
        ip6tables -A icmpv6-filter -p icmpv6 -s $pingable_host \
        --icmpv6-type echo-reply -j ACCEPT
    done

    # Incoming echo replies to prefixes which belong to the site
    for inner_prefix in $INNER_PREFIXES
    do
        ip6tables -A icmpv6-filter -p icmpv6 -d $inner_prefix \
        --icmpv6-type echo-reply -j ACCEPT
    done
fi

# Deny icmps to/from link local addresses
# If the firewall is a router:
#These rules should be redundant as routers should not forward
#link local addresses but to be sure...
# DO NOT ENABLE these rules if the firewall is a bridge
if [ "$FILTER_LINK_LOCAL_ADDRS" -eq "1" ]
then
    ip6tables -A icmpv6-filter -p icmpv6 -d fe80::/10 -j DROP
    ip6tables -A icmpv6-filter -p icmpv6 -s fe80::/10 -j DROP
fi

# Drop echo replies which have a multicast address as a
# destination
    ip6tables -A icmpv6-filter -p icmpv6 -d ff00::/8 --icmpv6-type echo-reply -j DROP

# DESTINATION UNREACHABLE ERROR MESSAGES
# ======================================
if [ "$STATE_ENABLED" -eq "1" ]
then
    # Allow incoming destination unreachable messages
    # only for existing sessions
    for inner_prefix in $INNER_PREFIXES
    do
        ip6tables -A icmpv6-filter -m state -p icmpv6 \
        -d $inner_prefix \
        --state ESTABLISHED,RELATED --icmpv6-type \
        destination-unreachable -j ACCEPT
    done
else
    # Allow incoming destination unreachable messages
    for inner_prefix in $INNER_PREFIXES
    do
        ip6tables -A icmpv6-filter -p icmpv6 -d $inner_prefix --icmpv6-type destination-unreachable -j ACCEPT
    done
fi

# Allow outgoing destination unreachable messages
for inner_prefix in $INNER_PREFIXES
do
    ip6tables -A icmpv6-filter -p icmpv6 -s $inner_prefix --icmpv6-type destination-unreachable -j ACCEPT
done

# PACKET TOO BIG ERROR MESSAGES
# =============================
if [ "$STATE_ENABLED" -eq "1" ]
then
    # Allow incoming Packet Too Big messages
    # only for existing sessions
    for inner_prefix in $INNER_PREFIXES
    do
        ip6tables -A icmpv6-filter -m state -p icmpv6 -d $inner_prefix \
        --state ESTABLISHED,RELATED \
        --icmpv6-type packet-too-big \
        -j ACCEPT
    done
else
    # Allow incoming Packet Too Big messages
    for inner_prefix in $INNER_PREFIXES
    do
        ip6tables -A icmpv6-filter -p icmpv6 -d $inner_prefix --icmpv6-type packet-too-big -j ACCEPT
    done
fi

# Allow outgoing Packet Too Big messages
for inner_prefix in $INNER_PREFIXES
do
    ip6tables -A icmpv6-filter -p icmpv6 -s $inner_prefix --icmpv6-type packet-too-big -j ACCEPT
done

# TIME EXCEEDED ERROR MESSAGES
# ============================
if [ "$STATE_ENABLED" -eq "1" ]
then
# Allow incoming time exceeded code 0 messages
# only for existing sessions
    for inner_prefix in $INNER_PREFIXES
    do
        ip6tables -A icmpv6-filter -m state -p icmpv6 -d $inner_prefix \
        --state ESTABLISHED,RELATED --icmpv6-type packet-too-big \
        -j ACCEPT
    done
else
# Allow incoming time exceeded code 0 messages
    for inner_prefix in $INNER_PREFIXES
    do
    ip6tables -A icmpv6-filter -p icmpv6 -d $inner_prefix \
            --icmpv6-type ttl-zero-during-transit -j ACCEPT
    done
fi

#@POLICY@
# Allow incoming time exceeded code 1 messages
for inner_prefix in $INNER_PREFIXES
do
    ip6tables -A icmpv6-filter -p icmpv6 -d $inner_prefix --icmpv6-type ttl-zero-during-reassembly -j ACCEPT
done

# Allow outgoing time exceeded code 0 messages
for inner_prefix in $INNER_PREFIXES
do
    ip6tables -A icmpv6-filter -p icmpv6 -s $inner_prefix --icmpv6-type ttl-zero-during-transit -j ACCEPT
done

#@POLICY@
# Allow outgoing time exceeded code 1 messages
for inner_prefix in $INNER_PREFIXES
do
    ip6tables -A icmpv6-filter -p icmpv6 -s $inner_prefix --icmpv6-type ttl-zero-during-reassembly -j ACCEPT
done

# PARAMETER PROBLEM ERROR MESSAGES
# ================================
if [ "$STATE_ENABLED" -eq "1" ]
then
    # Allow incoming parameter problem code 1 and 2 messages
    # for an existing session
    for inner_prefix in $INNER_PREFIXES
    do
    ip6tables -A icmpv6-filter -m state -p icmpv6 \
                  -d $inner_prefix \
                  --state ESTABLISHED,RELATED --icmpv6-type \
                  unknown-header-type \
                  -j ACCEPT
                  ip6tables -A icmpv6-filter -m state -p icmpv6 \
                          -d $inner_prefix \
                          --state ESTABLISHED,RELATED \
                          --icmpv6-type unknown-option \
                          -j ACCEPT
    done
fi
# Allow outgoing parameter problem code 1 and code 2 messages
for inner_prefix in $INNER_PREFIXES
do
    ip6tables -A icmpv6-filter -p icmpv6 -s $inner_prefix --icmpv6-type unknown-header-type -j ACCEPT
    ip6tables -A icmpv6-filter -p icmpv6 -s $inner_prefix --icmpv6-type unknown-option -j ACCEPT
done
#@POLICY@
# Allow incoming and outgoing parameter
# problem code 0 messages
for inner_prefix in $INNER_PREFIXES
do
    ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type bad-header -j ACCEPT
done
# NEIGHBOR DISCOVERY MESSAGES
# ===========================
# Drop NS/NA messages both incoming and outgoing
ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type neighbor-solicitation -j DROP
ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type neighbor-advertisement -j DROP
# Drop RS/RA messages both incoming and outgoing
ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type router-solicitation -j DROP
ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type router-advertisement -j DROP
# Drop Redirect messages both incoming and outgoing
ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type redirect -j DROP
# MLD MESSAGES
# ============
# Drop incoming and outgoing
# Multicast Listener queries (MLDv1 and MLDv2)
ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type 130 -j DROP
# Drop incoming and outgoing Multicast Listener reports (MLDv1)
ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type 131 -j DROP
# Drop incoming and outgoing Multicast Listener Done messages (MLDv1)
ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type 132 -j DROP
# Drop incoming and outgoing Multicast Listener reports (MLDv2)
ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type 143 -j DROP
# ROUTER RENUMBERING MESSAGES
# ===========================
# Drop router renumbering messages
ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type 138 -j DROP
# NODE INFORMATION QUERIES
# ========================
# Drop node information queries (139) and replies (140)
ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type 139 -j DROP
ip6tables -A icmpv6-filter -p icmpv6 --icmpv6-type 140 -j DROP
# MOBILE IPv6 MESSAGES
# ====================
# If there are mobile ipv6 home agents present on the
# trusted side allow
if [ "$HOME_AGENTS_PRESENT" -eq "1" ]
then
    for inner_prefix in $INNER_PREFIXES
    do
    #incoming Home Agent address discovery request
        ip6tables -A icmpv6-filter -p icmpv6 -d $inner_prefix --icmpv6-type 144 -j ACCEPT
    #outgoing Home Agent address discovery reply
        ip6tables -A icmpv6-filter -p icmpv6 -s $inner_prefix --icmpv6-type 145 -j ACCEPT
    #incoming Mobile prefix solicitation
        ip6tables -A icmpv6-filter -p icmpv6 -d $inner_prefix --icmpv6-type 146 -j ACCEPT
    #outgoing Mobile prefix advertisement
        ip6tables -A icmpv6-filter -p icmpv6 -s $inner_prefix --icmpv6-type 147 -j ACCEPT
    done
fi

# If there are roaming mobile nodes present on the
# trusted side allow
if [ "$MOBILE_NODES_PRESENT" -eq "1" ]
then
    for inner_prefix in $INNER_PREFIXES
    do
    #outgoing Home Agent address discovery request
        ip6tables -A icmpv6-filter -p icmpv6 -s $inner_prefix --icmpv6-type 144 -j ACCEPT
    #incoming Home Agent address discovery reply
        ip6tables -A icmpv6-filter -p icmpv6 -d $inner_prefix --icmpv6-type 145 -j ACCEPT
    #outgoing Mobile prefix solicitation
        ip6tables -A icmpv6-filter -p icmpv6 -s $inner_prefix --icmpv6-type 146 -j ACCEPT
    #incoming Mobile prefix advertisement
        ip6tables -A icmpv6-filter -p icmpv6 -d $inner_prefix --icmpv6-type 147 -j ACCEPT
done
fi
# DROP EVERYTHING ELSE
# ====================
ip6tables -A icmpv6-filter -p icmpv6 -j DROP

ttood
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux系统ip6tables怎么配置,ip6tables命令
weixin_42355744的博客
05-05 1626
ip6tables命令和iptables一样,都是linux操作系统中防火墙软件,不同的是ip6tables采用的TCP/ip协议为IPv6。语法ip6tables(选项)选项-t:指定要操纵的表;-A:向规则链中添加条目;-D:从规则链中删除条目;-i:向规则链中插入条目;-R:替换规则链中的条目;-L:显示规则链中已有的条目;-F:清楚规则链中已有的条目;-Z:清空规则链中的数据包计算器和字节...
ICMPv6
小徐的博客
07-10 1201
ICMPv6常用功能:邻居发现ND、无状态地址配置、PMTU发现、目的不可达、数据包超长、超时、回应请求和回应应答等。网络排障:ping 和 tracert等 ICMPv6:next-header 58 Type code checksum 数据部分 type: 错误报文:消息类型0-127 1:目的不可达 2:数据包过大(PMTU) 3:超时 4:参数错误 信息报文:消息类型128-255 code:具体的原因 常用信息报文代码: ECHO REQUEST 128 ECHO REPLY 129 邻居请求
ICMPv6协议中各种Type的详细取值范围及其含义
u011029104的专栏
08-14 7431
在ICMPv6中的Type字段定义中,0-127为错误消息(Error messages),而128-255为信息消息(Informational messages),其中每种Type定义一种类型及其含义分类,而部分Type中由根据Code值指定该类别下更详细的错误或信息分类。 针对ICMPv6协议属于IPv6协议的一部分,因此该部分对IPv6的ND邻居发现协议进行了很详细的分类,ND邻居发现协议由ICMPv6来实现,因此ND消息的各种Type以及各种选项options也在此部分定义。 以下为各种定义的取值
闲谈IPv6-没有选项胜有选项的TLV
Netfilter
03-12 4666
皮鞋湿了,只要是温州的,虽湿而不胖。 IPv6协议头固定,并且非常简单,去掉了IPv6的选项字段,把变长头部统改成了定长。这有什么益处就不多说了,肯定百分百地是提升了处理效率。然而,这里我要说的是,在获得这些收益的同时,其实并没有付出任何代价! 这也就是说,IPv4的设计在某种意义上是错误的设计!不过呢,也不必因为我这句话而大跌眼镜,进化嘛,缺陷总是有的。 我们乍看IPv6,好像是缺失了opt...
无需公网IP,在家使用IPV6和电信光猫进行内网穿透以搭建远程主机
qq_63533710的博客
01-10 1万+
针对家用远程主机的,免费不限速但是有危险性的简易内网穿透方案。
IPv6规模部署下的网络安全防护
02-24
而在IPv6网络的搭建中,需要注意如下两个场景,保证业务和应用继续平稳运行:·在将网络设备的IP地址升级为IPv6地址的同时,对各种IP协议也进行升级,在保持IPv6主机的正常通信的同时解决原来IPv4网络在效率和安全性...
IPv6网站防护安全解决方案.doc
09-09
下一代互联网安全防护技术方案 IPv6安全过渡方案
IPv6网站防护安全解决方案.docx
06-04
IPv6网站防护安全解决方案.docxIPv6网站防护安全解决方案.docxIPv6网站防护安全解决方案.docxIPv6网站防护安全解决方案.docxIPv6网站防护安全解决方案.docxIPv6网站防护安全解决方案.docxIPv6网站防护安全解决方案....
IPv6改造及网站安全防护服务方案26页.docx
07-09
IPv6改造及网站安全防护服务方案26页.docx
ip6tables: ipv6-icmp vs icmp
weixin_34327223的博客
04-27 1357
ip6tables: ipv6-icmp vs icmp资料来源 https://www.jethrocarr.com/2013/02/09/ip6tables-ipv6-icmp-vs-icmp/ICMP 是一种控制协议,通常被称为“ping”[但Ping是ICMP执行的功能之一,还有很多其他的功能,包括MTU发现和连接拒绝消息]。IPv6 在...
浅析IPv6技术及其安全机制
07-04
随着互联网的飞速发展,网络安全越来越受到重视,IPv6取代IPv4成为新的IP协议在必行,如何平稳、安全地过渡到IPv6的技术,还有待于进一步改进。以网络安全相关知识和IPV6的概述、基本特点为基础,详细介绍了IPv6的技术特点,以及IPv6安全方面的改进和它所存在的安全隐患。
IPv6 时代如何防御 DDoS 攻击?
Innocence_0的博客
01-12 328
IPv6 时代如何防御 DDoS 攻击?
linux系统ip6tables怎么配置,使用ip6tables禁用ipv6
weixin_28873663的博客
05-05 3829
在上世纪90年代,也就是1994年的时候人们因为应对ipv4地址的短缺的问题而提出使用NAT技术ip过载,就出现了局域网的概念,让局域网的私有ip能过通过NAT转发来实现上网,NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的主机。而后又推出了ipv6ipv6中IP地址的长度为128是iPv4的4倍它的长度可以使它让地球上的每一粒沙子都可以分配ip...
利用ipv6实现公网ip
qq_62370574的博客
12-18 2万+
在不久的未来,ipv6将替代ipv4成为主流,在查询了相关资料以后,发现目前大多数网络设备都是支持ipv6的,并且由于ipv6非常广泛,不需要使用nat去区分内外网,电脑上获取到的ipv6可以直接在公网上访问。 首先我们判断自己的网络有没有ipv6,直接在命令窗口中输入ipconfig
IPv6安全
24965459的博客
07-23 1170
IPv6作为一种IP协议,其继承了IPv6的一些特性,同时也有一些漏洞: 具体的有:应用层的漏洞,由于IP协议在应用层的下面。则其应用层的漏洞也继承                   NDP协议的漏洞,IPv6的NDP继承了很多IPv4的ARP相关的漏洞                  DHCP,由于DHCPv6没有提供认证机制,也存在伪造DHCP的风险
iptables 使用总结
weixin_30871701的博客
05-24 693
Linux 系统的防火墙功能是由内核实现的   2.0 版内核中,包过滤机制是 ipfw,管理工具是 ipfwadm   2.2 版内核中,包过滤机制是 ipchain,管理工具是 ipchains   2.4 版及以后的内核中,包过滤机制是 netfilter,管理工具是 iptables iptables   用户态     位于/sbin/ipta...
ICMPv6报文详解
热门推荐
tushanpeipei的博客
01-25 2万+
ICMP基础: ICMPv6(Internet Control Message Protocol for the IPv6)是IPv6的基础协议之一。 在IPv4中,Internet控制报文协议ICMP(Internet Control Message Protocol)向源节点报告关于向目的地传输IP数据包过程中的错误和信息。它为诊断、信息和管理目的定义了一些消息,如:目的不可达、数据包超长、超时、回应请求和回应应答等。在IPv6中,ICMPv6除了提供ICMPv4常用的功能之外,还是其它一些功能的基础,
fortigate does not support dual stack
最新发布
06-24
### 回答1: Fortigate是一种网络安全设备,用于保护网络免受网络攻击和安全威胁。然而,Fortigate不支持双栈协议,这意味着它不能同时支持IPv4和IPv6协议。 IPv4是目前广泛使用的Internet协议,但它已经达到了可用地址的极限。因此,IPv6作为IPv4的后继者正在逐渐流行。由于IPv6的地址空间更大,因此它可以提供更多的地址和更好的网络性能。 然而,由于Fortigate不支持双栈协议,它无法同时使用IPv4和IPv6地址。因此,它在网络过渡期间的使用受到了一定的限制,需要适当的网络规划和升级才能实现更好的网络性能和安全性。 综上所述,Fortigate不支持双栈协议,因此需要对网络进行适当的规划和升级,以便在IPv4和IPv6之间实现平稳的过渡。同时,我们也需要考虑未来的网络安全和性能需求,以确保我们的网络能够满足不断变化的需求。 ### 回答2: Fortigate不支持双栈功能。双栈是IPv4与IPv6协议的混合使用,可以使网络具备向IPv6协议的过渡能力。但目前Fortigate不能同时支持IPv4和IPv6协议的双栈,仅支持其中一种协议。因此在使用Fortigate时需要根据实际情况选择哪种协议来支持。如果需要支持IPv6协议,就可能需要使用其他的网络设备来进行转换或兼容。如果需要支持IPv4协议,则可以继续使用Fortigate进行网络防护和管理。总之,需要注意Fortigate的协议支持范围,以确保网络安全和正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值