blog.shiten.info _{with us you can}

IPv6 の環境を整えてみました

自宅の環境を、feel6 を使って ipv6 アドレスがもらえるようにしました。
会社で IPv6 を導入したのをきっかけに自宅でも設定してみました。自宅の環境はフレッツ光プレミアムで、特段ルータを入れていません。で、CTU の「静的アドレス変換設定（ポート指定）」で、41 番ポートを転送して実行。
内部に、Debian マシンを新設、dtcpd と radvd をインストールしました。これで、同じネットワーク内で Windows / Linux など、OSを問わずに IPv6 の環境が整備できました。
最初は以下のような詳細な ip6tables を書いてみましたが、自身はありません。突っ込み大歓迎。

#!/bin/sh
ip6tables -F
ip6tables -X
ip6tables -P INPUT DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD DROP
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -i eth0 -j ACCEPT
ip6tables -N ping-of-death
ip6tables -A ping-of-death -m limit –limit 1/sec –limit-burst 4 -j ACCEPT
ip6tables -A ping-of-death -i eth0 -j LOG –log-level info –log-prefix ‘ping6-of-death ‘
ip6tables -A ping-of-death -j DROP
ip6tables -A INPUT -p icmpv6 –icmpv6-type echo-request -j ping-of-death
ip6tables -A FORWARD -p icmpv6 –icmpv6-type echo-request -j ping-of-death
ip6tables -N syn-flood
ip6tables -A syn-flood -m limit –limit 1/s –limit-burst 4 -j RETURN
ip6tables -A syn-flood -i eth0 -j LOG –log-level info –log-prefix ‘syn-flood-ipv6 ‘
ip6tables -A syn-flood -j DROP
ip6tables -A INPUT -p tcp –syn -j syn-flood
ip6tables -A FORWARD -p tcp –syn -j syn-flood
ip6tables -N port-scan
ip6tables -A port-scan -m limit –limit 1/s –limit-burst 4 -j RETURN
ip6tables -A port-scan -i eth0 -j LOG –log-level info –log-prefix ‘port-scan-ipv6 ‘
ip6tables -A port-scan -j DROP
ip6tables -A INPUT -p tcp –tcp-flags SYN,ACK,FIN,RST RST -j port-scan
ip6tables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -j port-scan
ip6tables -N chain
ip6tables -A chain -p icmpv6 –icmpv6-type echo-reply -j ACCEPT
ip6tables -A chain -p tcp –dport smtp -j ACCEPT
ip6tables -A chain -p tcp –sport smtp -j ACCEPT
ip6tables -A chain -p udp –dport domain -j ACCEPT
ip6tables -A chain -p udp –sport domain -j ACCEPT
ip6tables -A chain -p tcp –dport http -j ACCEPT
ip6tables -A chain -p tcp –sport http -j ACCEPT
ip6tables -A chain -p udp –dport ntp -j ACCEPT
ip6tables -A chain -p udp –sport ntp -j ACCEPT
ip6tables -A chain -p tcp –dport https -j ACCEPT
ip6tables -A chain -p tcp –sport https -j ACCEPT
ip6tables -A chain -i eth0 -p tcp -m tcp –dport 22 -j ACCEPT
ip6tables -A chain -i sit0 -p tcp -m tcp –dport 22 -j ACCEPT
ip6tables -A INPUT -i sit0 -j chain
ip6tables -A FORWARD -d 2001:3e0:831::/64 -j chain
ip6tables -A FORWARD -s 2001:3e0:831::/64 -j chain
ip6tables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

ra にしても、まだまだ環境は変わりそうだけど、なんだか潤沢にあるという理由だけで、IPv6 アドレスをもったいない割り当て方してない？

Amazon.co.jp ウィジェット