it-swarm-ja.com

ipv6でping応答を拒否する

私のipv6アドレスでのping応答を拒否する方法を知りたいのですが。私たちは仕事でipv6のpingフラッドをいじっていますが、icmp要求をブロックする通常の方法は機能しません。

Imcpフォルダー(Linuxの場合)にプリインストールされているスクリプトを試してみましたが、ipv6にはそれぞれのスクリプトがありません。

私はまた、運が悪かったiptablesをフォローするように試みました:

/sbin/iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp –icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp –icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp –icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -i eth0 -j DROP

それが可能かどうか、そしてwinおよびmacOSXマシンでもどのようにできるかを知っておくとよいでしょう。

6
Bruno9779

まず、警告の言葉。特定の種類のICMPv6トラフィックをドロップすると、ネットワークが完全に破壊される可能性があります。ですから、何をするか、落とさないように十分注意してください。 RFC 489 は、何をすべきか、何をすべきでないかを学ぶことから始めるのに最適な場所です。

それが邪魔にならないように...

あなたが与えたあなたの例は、IPv4トラフィックのみを管理するiptablesを使用しています。 IPv6ファイアウォールは独立しており、ip6tablesを介して管理されます。

たとえば、本当に着信pingをドロップしたい場合は、次のようにすることができます(推奨されません。RFCを参照してください)。

ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -j DROP

ip6tablesのマニュアルページを参照してください。上記のRFCには、いくつかのip6tablesサンプル構成も含まれています。

8
Michael Hampton