3

Я настроил простую изолированную сеть, состоящую из следующих машин на базе Linux: Node1 <----> Router <----> Node2

Eth0 маршрутизатора связан с eth0 Node1. Eth1 маршрутизатора связан с eth0 Node2.

Все три системы настроены с адресом IPv6, и я могу успешно пропинговать друг друга. Я запускаю iptables/ip6tables на маршрутизаторе и хочу заблокировать весь трафик IPv6, поступающий с узла 2, идущий к узлу 1 (через маршрутизатор)

Как мы знаем, весь трафик IPv6 имеет сигнатуру типа пакета Ethernet 0x86dd, и я хочу заблокировать трафик, используя таблицы ip6, используя только эту конкретную сигнатуру. После прочтения man-страницы ip6tables и поиска в интернете я не смог найти подходящий вариант (например, ether-type) для блокировки трафика.

Могу ли я сделать это через ip6tables вообще?

РЕДАКТИРОВАТЬ: Я специально искал способ использовать данные из уровня 2 (0x86dd) для блокировки трафика. По сути, вопрос сводится к тому, работает ли iptables/ip6tables на уровне 2 или нет?

2 ответа2

3
ip6tables -I FORWARD -o eth0 -j REJECT

Это будет отклонять весь трафик IPv6, не исходящий от маршрутизатора и выходящий из eth0. Вы также можете -i eth1 чтобы указать интерфейс ввода. Кроме того, вам также может понравиться

ip6tables -I FORWARD -d ${IP(Node1)} -j REJECT

который заблокирует весь трафик, отправляемый на IP-адрес Node1, не исходящий от маршрутизатора или, возможно,

ip6tables -I FORWARD -s ${IP(Node2)} -d ${IP(Node1)} -j REJECT

который будет блокировать весь трафик от Node2 к Node1 на основе их соответствующих IP-адресов.

Обратите внимание, что последние два работают, только если Node1 и / или Node2 имеют фиксированные IP-адреса. Не стесняйтесь заменить REJECT на DROP , но обычно REJECT - лучший способ сделать что-либо (особенно в «дружественной» среде).

0

Я знаю, что это старо, но мне случается смотреть на нечто подобное. Один из вариантов здесь - использовать ebtables на мосту с параметром -p ip6. Я добился того, чтобы он работал «полностью», но не смог обработать исключения для определенных вещей (пока).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .