Modifiche

Da GolemWiki.

IPv6 @ GOLEM

1 096 byte aggiunti, 14:57, 21 ott 2018
Firewall per gli host
Gli indirizzi IPv6 sono tutti pubblici, perciò è bene che '''tutti''' gli host, compresi quelli domestici che sin'ora sono stati dietro a un (s)comodo NAT, attivino degli strumenti atti a prevenire accessi indesiderati dall'esterno.
{{Note
|type=reminder
|text=''''Nota bene'''': salvare queste impostazioni, per esempio con <code>iptables-save</code> e <code>iptables-restore</code>, altrimenti verranno perse al riavvio.
}}
 
==== Direttamente sull'host ====
Si può agire direttamente sugli host da proteggere:
# ip6tables -P INPUT DROP
# ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
{{NoteIn generale con Linux questa operazione non è comunque necessaria, perché tanto non vi sono servizi esposti a meno che non siano stati installati esplicitamente.|type==== Dal gateway ====reminder|text=Salvare queste impostazioniInvece di configurare il firewall su ogni host singolarmente, si può configurare il gateway una volta sola per esempio con <code>iptablesproteggere tutta la rete a valle: # ip6tables -P FORWARD DROP # ip6tables -A FORWARD -save<s 2001:470:c844:rrrr::/code> e <code>iptables64 -j ACCEPT # ip6tables -restore</code>A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT Nell'ordine:* blocca l'inoltro di tutti i pacchetti* abilita l'inoltro dei pacchetti in uscita dalla rete* abilita l'inoltro dei pacchetti correlati a connessioni già stabilite Questo impedisce l'accesso indesiderato a tutti gli host della rete, compresi gli host con Windows che possono starsene "sicuri" anche senza il firewall, pur esponendo servizi (NetBIOS, altrimenti verranno perse al riavvioSamba).}}
Si può fare anche qualcosa direttamente sul ===== Eccezioni =====Se si desidera comunque rendere accessibile un proprio server in particolare, è possibile istruire il gatewaycon un'eccezione, così da non dover replicare la configurazione su ogni aggiungendo: # ip6tables -A FORWARD -d 2001:470:c844:rrr::host.-j ACCEPT
{{Note|type=reminder|text=TODO: Questa sezione Questo è da espandere!}}qualcosa che "assomiglia" vagamente al vecchio ''port forwarding''.
=== Torrent ===

Menu di navigazione