IP6tables阻塞输入？无法与youtube API连接

Question

我原以为有一个简单的ipv6防火墙，但结果却是地狱。不知何故，我真的无法连接到机器上的任何ipv6，除非我将输入策略设置为接受。低于我目前的ip6tables

ip6tables -L

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all      anywhere             anywhere           state RELATED,ESTABLISHED
ACCEPT     ipv6-icmp    anywhere             anywhere
ACCEPT     tcp      anywhere             anywhere           tcp dpt:http
ACCEPT     tcp      anywhere             anywhere           tcp dpt:https

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

如果我试图连接到任何ipv6广告，它不工作吗？

telnet gdata.youtube.com 80
Trying 2a00:1450:4013:c00::76...

或

telnet gdata.youtube.com 443
Trying 2a00:1450:4013:c00::76...

当我设定：

ip6tables -P INPUT ACCEPT

起作用了..。但后来..。那么一切都是开放的？怎么一回事？帮助?

Answer 1

您可能错过了关键的“有状态”规则：

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

您还缺少了接受ICMPv6的规则。没有ICMPv6，IPv6就无法正常工作。

-A INPUT -p ipv6-icmp -j ACCEPT

出于性能原因，这应该是链中最早的规则之一。