lunes, 16 de julio de 2012

IPv6 forwarding /64

En la entrada anterior dejamos radvd funcionando. También tenemos nuestro rango de IPv6 local y el de Hurricane Electric. Ahora tenemos que asegurar y poner todo junto para que funcione bien.

Primero, tenga en cuenta que la maquina ruteador le hace forwarding a TODO el que este dentro del rango "visible desde el exterior" Este rango fue el rango que nos dio Hurricane Electric. Supongamos que aunque toda la red use ese rango, queremos solamente dos maquinas "expuestas". Con ip6tables en el router, hacemos esto:


# forward el server de correo
ip6tables -A FORWARD -s 2001:470:8:175::2 -j ACCEPT
ip6tables -A FORWARD -d 2001:470:8:175::2 -j ACCEPT

# el esto decarte
ip6tables -A FORWARD -j DROP

De esta forma, solo seran externos los servidores que usted determine. Ahora bien, repito, esos servidores:

NO ESTAN PROTEGIDOS POR EL FIREWALL DEL ROUTER

Deben tener su propio firewall ipv6. Como esto de IPv6 es nuevo, debe haber una pila de hackers por ahi buscandole las cuatro patas al gato. Mejor andarse claro; y un firewall restrictivo es lo mejor. Permitiremos
echo ipv6 porque supuestamente no son tan vulnerables como los del 4.

 # el lo pasa 
ip6tables -A INPUT -i lo -j ACCEPT


 # permitir el ECHO ICMP
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT


# trafico local, pasa
ip6tables -A INPUT -s 2001:db8::/64 -j ACCEPT


 # abro puerto 25
ip6tables -A INPUT -p tcp -d 2001:470:8:175::2 --destination-port 25 -j ACCEPT


# loguea y descarta el resto
ip6tables -A INPUT -j LOG
ip6tables -A INPUT -j DROP
ip6tables -A FORWARD -j DRO

Con eso, habremos cerrado y defendido la interfaz expuesta. Recuerdo que ambas (o todas) la direcciones están en la misma interfaz económico pero también peligroso. Ahora bien, el server tiene varios IPv6. En la entrada que habla de radvd, vimos que podiamos tener dos variantes. La primera es ponerle el rango de Electric Hurricante y la segunda era poner un rango local

Si puso un rango local como es mi caso, necesitará aclararle a su interfaz por donde debe coger para alcanzar una IP. Asumimos que 2001:db8::16 es la interfaz local de la LAN. La ruta nos quedaria asi:

# mi lan local
route -A inet6 add 2001:db8::/64 dev eth0
# gatewat por defecto es mi proxy
route -A inet6 add ::/0 gw 2001:470:8:175::1

Asi tratara de alcanzar las direcciones local desde la interfaz eth0 directamente pero el resto no alcanzable saldrá a buscarlo por la IPv6 del túnel, situado en el ruoter.
en

No hay comentarios:

Publicar un comentario

Si vas a decir groserias, aclara el significado para los que no somos de tu mismo país.

Suscribirse a: Enviar comentarios (Atom)