Blokowanie IPv6

Niektórzy dostawcy (jak OVH) uszczęśliwiają mnie na siłę, nadając nowy adres IPv6 dla serwerków. Wspominałem już o podstawach konfiguracji firewalla na VPSie, ale sprawa dotyczyła IPv4. Jeżeli wyłączamy usługę firewalld i chcemy się pobawić firewallem, warto zadbać również o ruch na adresie z nowego zakresu.

Jak ja to robię? Dropuję wszystko jak leci. 🙂 Nie jestem póki co zainteresowany, ale nie chcę też, by ktoś zrobił mi krzywdę, łącząc się przez słabiej zabezpieczone porty. Na Fedorze, Red Hacie i wszystkich pochodnych, mamy dwie pomocne usługi: iptables oraz ip6tables. Dzisiaj zajmiemy się tą drugą.

Najpierw zaglądamy do pliku /etc/sysconfig/ip6tables i komentujemy wszystkie linijki. Końcówka mojego pliku wygląda tak:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT

Gdyby jakiś lokalny proces bardzo musiał korzystać z ipv6, to przeszkadzać mu nie będę 🙂 , ale wszystkie zewnętrzne połączenia są zamknięte. Pozostało jeszcze ustawienie usługi w systemd:

sudo systemctl enable ip6tables
sudo systemctl start ip6tables

oraz sprawdzenie regułek:

sudo ip6tables -L

Możemy już pomachać IPv6 na pożegnanie.