CentOS7でip6tableの設定を行う

インターネットに接続するために必要なIPv4アドレスが枯渇した現在、緩やかながらIPv6への移行が進んでいます。なので、CentOSのサーバーのファイアウォールは、IPv4向け(iptables)のみならず、IPv6向け(ip6table)も設定するべきです。…CentOS7ではデフォルトのファイアウォールソフトがiptablesから変更されていることは気にしないでください。

もくじ

  • 基本的な設定
  • 設定例
  • 設定ファイル記述後の操作

基本的な設定

設定の書き方とかの基本的なところはおおむねiptablesと一緒です。開けるポート、閉めるポートもだいたい同じです。というわけで早速設定編集に映ります。 [VIM] sudo vim /etc/sysconfig/ip6tables [/VIM] これでip6tablesの設定ファイルを開けるので、後は概ね普段通りの設定でいいでしょう。文法はiptablesと同じです。ただし、iptablesのときに「icmp」と記述していたところが「ipv6-icmp」になっているようです。その他の違いは当方では確認されませんでした。

設定例

以下が記述例になります。必要に応じて書き換えて下さい。 [VIM] *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] # INPUT,OUTPUT Basic -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A INPUT -p ipv6-icmp -j ACCEPT -A OUTPUT -p ipv6-icmp -j ACCEPT -A INPUT -p tcp -m tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A INPUT -p tcp -m tcp ! –tcp-flags FIN,SYN,RST,ACK SYN -m state –state NEW -j DROP -A INPUT -p tcp -m tcp –tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP #SSH INPUT,OUTPUT -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT -A OUTPUT -p tcp -m tcp –sport 22 -j ACCEPT COMMIT [/VIM]

設定ファイル記述後の操作

設定ファイルの記述が終わったら、ip6tablesを起動させ、サーバー再起動と同時にip6tablesも立ち上がるように設定します。 [VIM] sudo systemctl enable ip6tables sudo systemctl start ip6tables [/VIM]

参考サイト様

このブログを応援する・寄付する

当ブログでは暗号通貨による寄付を募っております。

モナゲボタン モナゲボタン

Bitcoin:

Monacoin:

Litecoin: