用于Ip6tables路由器的ipv6脚本

Question

我正在使用我的ubuntu上的gogoc隧道代理来启用ipv6。我想使用我的Ubuntu作为ipv6路由器。我已经在gogoc客户机中启用了路由器模式。我正在使用radvd在本地局域网上对路由器做广告。tun是隧道(WAN)接口。br0是局域网接口(wan0和eth0已被桥接，使笔记本电脑成为无线访问点)。我可以使用哪些防火墙规则来实现数据包转发，并为路由器和局域网设计提供相当好的安全性。

Answer 1

我不能说我熟悉特定的隧道代理，我假设您收到了主机的/64。有些隧道代理提供了一个/48，在这种情况下，您需要稍微调整规则。这些文件采用iptables保存格式：

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

# Allow established connections
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# Allow ICMPv6 traffic (required for IPv6) This could be tightened up but it must
# be done very carefully unless you know what you're doing. It could block all
# routing
-A INPUT -p ipv6-icmp -j ACCEPT
-A FORWARD -p ipv6-icmp -j ACCEPT

# Allow traffic from your internal hosts to the outside world
-A FORWARD -s <your address block>::/64 -j ACCEPT

COMMIT

您需要将"：：/64“替换为分配给您的任何地址范围。

此防火墙将防止与本地IPv6地址的所有外部连接，同时允许它们访问所有内容。如果需要在内部IPv6主机上提供服务，则需要在前向链末尾(但在提交之前)添加允许规则。