Отклонить пинг-ответ в ipv6

Question

Я хотел бы знать, как отказать в ответах ping на мой адрес ipv6. Мы возились с ping-флудом на ipv6 на работе, и обычный способ блокировать запросы icmp не работает.

Я пробовал с предустановленными скриптами в папке imcp (в linux), но у thevv6 нет соответствующего скрипта.

Я также попытался следовать Iptables без удачи:

/sbin/iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp –icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp –icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp –icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -i eth0 -j DROP

Было бы хорошо узнать, возможно ли это, и как это сделать для машин с win и mac OSX.

Answer 1

Сначала слово предупреждения. Отказ от определенных видов трафика ICMPv6 может полностью сломать вашу сеть. Поэтому будьте очень осторожны в том, что вы делаете, и не бросайте. RFC 4890 - отличное место, чтобы начать с изучения того, что нужно делать, а чего нет.

С этим из пути ...

В приведенном вами примере используется iptables который управляет только трафиком IPv4. Брандмауэр IPv6 является отдельным и управляется через ip6tables .

Например, если вы действительно хотите отбросить входящие эхо-запросы, вы можете сделать что-то вроде этого (не рекомендуется; см. RFC):

ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -j DROP

Смотрите справочную страницу ip6tables . RFC выше также включает некоторые примеры конфигураций ip6tables .