20/05/06 15:11:32 Sq8zUrjX.net
LinuxデスクトップでIPv6利用している人に質問。
IPv6なので、INPUTトラフィックをブロックしようと思うんだけど、自分はfirewalldでINPUTをDROPさせています。
他に良いやり方があれば教えてほしいです。
25:login:Penguin
20/05/06 16:05:28 kavrAHLj.net
>>24
自分はfirewalldが出てくるまえからのユーザーなので、
慣れているiptablesコマンドを使っている。
シンプルに設定したいなら、
firewalldはdisableにして、iptablesを入れると良いと思う。
# yum install iptables-services
で入る。
設定前にネットワークを切断する。
LANケーブルを抜くなど。
設定移行中に脆弱となるため。
まず、firewalldを止める。
# systemctl stop firewalld
# systemctl disable firewalld
iptableの開始。
# systemctl enable iptables
# systemctl start iptables
これで、iptableのデフォルト設定が入る。
続く↓
26:login:Penguin
20/05/06 16:05:47 kavrAHLj.net
ipv6の設定は、
ip6tableコマンドでフィルタなどの設定行う。
ipv4は、iptableコマンドで設定する。
ipv6のインプットをブロックするなら、
ip6tables -F ←初期化する。脆弱になる。
ip6tables -P INPUT DROP ←ポリシーをDROPにする。
設定を以下のコマンドで保存すること。
さもなければ再起動時にルールが消える。
ディストリによって作法は違うかも。
iptables-save > /etc/sysconfig/iptables
ip6tables-save > /etc/sysconfig/ip6tables
27:login:Penguin
20/05/06 16:10:48 kavrAHLj.net
ip6tables -A INPUT -i lo -j ACCEPT
この設定も加える。
内部的に使われる通信は、許可しても良いと思う。
loインターフェイスからのパケットの入力は許可する。
できれば、ステートフルインスペクション設定もあれば良い。
セキュリティのための設定をしようとしているのだと思うけど、
内部的にもipv6は使われることに留意する必要がある。
28:login:Penguin
20/05/06 16:15:43 kavrAHLj.net
まとめると、こうなる。
ip6tables -F ←初期化する。脆弱になる。
ポリシー設定
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT
さっきのやつ
ip6tables -A INPUT -i lo -j ACCEPT
設定保存
ip6tables-save > /etc/sysconfig/ip6tables
29:login:Penguin
20/05/06 16:37:02 8YNuagr/.net
>>23
効いててワロタ
30:login:Penguin
20/05/06 17:17:33 Sq8zUrjX.net
>>28
やっぱりiptablesなどでブロックするレベルの対応ですよね
サードパーティのアプリを入れるという手段よりかは、カーネルに近い制御で賄うというところでしょうか。
参考になりました。ありがとうございます。
31:login:Penguin
20/05/06 17:38:33 5ygf4M/K.net
現在、同名の偽スレが複数立てられていますのでご注意願います。
これらはスレの趣旨をおおきく変えた偽スレです。
別スレを立てれば良いところを、スレの通番とタイトルを乗っ取る形で行われていることから、
Linux板を混乱させ、なし崩し的にこのスレの趣旨を反故にしようとするものだと考えられます。
今回のスレでは、混乱なく、建設的な書き込みで賑わうように願っております。
Linux板の皆様のご協力お願い申し上げます。
32:login:Penguin
20/05/06 18:05:06 Sq8zUrjX.net
となると、IPv6普及したとして、ディストリビューションにiptables/firewalldでINPUTのDrop設定が入っていたりしないと、一般にLinuxデスクトップの利用ちょっと厳しいよね。
Ubuntuベースでセキュリティ担保がしっかり出来てるディストリビューションってあるのかな。
まあこういう細かいところを自分できにしないといけないOSだから、普及しないんだろうけどね。
33:login:Penguin
20/05/06 18:34:31.83 t6fvMffo.net
>>32
標準設定もあるけどね。
自分は全てのルールを把握して、設定しないと気が済まないので、手っ取り早く全消ししてからルールを定義ずる。
実際はステートフルインスペクションを一行書いておくだけでほとんど対応できるので、
自分にとっては面倒でもないな。
初心者とか慣れない人なら、
新しいfirewalldの方がいいのかもしれない。
標準設定が作り込まれていた。
34:login:Penguin
20/05/07 01:53:03.32 knJGEZ2u.net
「細かいところまで弄れる」と「細かいところまで弄らなきゃいけない」って似てるけど違うよね。
35:login:Penguin
20/05/07 07:30:53 +HLvR2EP.net
>>13
PlasmaMobileだっけな
なんかモバイル用のヤツあるよ
うちの、AUSUSのWinタブ、もう使ってないから
入れてみようかと思ってたんだけど
他にタブレットあるから、おっくうでヤってない
36:login:Penguin
20/05/07 07:32:00 +HLvR2EP.net
あ
アンカー間違った
>>15ね
37:login:Penguin
20/05/08 01:09:51 FveB7tLt.net
>>3
死ね
荒らし
38:login:Penguin
20/05/08 07:28:58 1BYuemR7.net
>>37
バカは死んでも、なおんないんだよ
>>1が悪いニダ
って大暴れしてるけど
結局スレタイ読めないままだし…
霊的に生まれ変わらないと無理かもしんない