특정 인터페이스와 특정 IP를 제외한 나가는 연결을 차단하도록 UFW를 설정하려고 합니다. IPV6 주소로 핑을 계속 보낼 수 있다는 점을 제외하면 모든 것이 예상대로 작동하는 것 같습니다. 이러한 주소를 차단하고 싶습니다. 충돌하는 규칙이 없으므로 내가 뭔가 잘못하고 있는지, 버그인지, 예상된 것인지 확실하지 않습니다.
tun0 인터페이스 연결을 끊고 IPV4 ping이 성공적으로 차단된 것을 확인했습니다.
$ ping 192.30.255.113 # github.com
PING 192.30.255.113 (192.30.255.113) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
IPV6 주소를 시도했지만 차단되지 않았습니다.
ping 2001:41d0:701:1100::29c8 # ipv6-test.com
PING 2001:41d0:701:1100::29c8(2001:41d0:701:1100::29c8) 56 data bytes
64 bytes from 2001:41d0:701:1100::29c8: icmp_seq=1 ttl=42 time=181 ms
64 bytes from 2001:41d0:701:1100::29c8: icmp_seq=2 ttl=42 time=181 ms
이것은 내 UFW 구성입니다.
$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22 LIMIT IN Anywhere
Anywhere on tun0 ALLOW IN Anywhere
22 (v6) LIMIT IN Anywhere (v6)
Anywhere (v6) on tun0 ALLOW IN Anywhere (v6)
Anywhere ALLOW OUT Anywhere on tun0
1.2.3.4 1234 ALLOW OUT Anywhere
Anywhere (v6) ALLOW OUT Anywhere (v6) on tun0
왜 그런 겁니까?
답변1
결과 에 따르면 ip6tables-save모든 IPv6 정책은 입니다 ACCEPT. 또한 ufw아무 작업도 수행하지 않는 사전 정의된 테이블 외에 실제로 활성화된 IPv6 규칙이 없습니다.
꼭 /etc/default/ufw포함시켜서 IPV6=yes실행해주세요 sudo ufw reload.
귀하의 버그 보고서를 따랐으며 오류가 없습니다. 기본 ufw IPv6 정책에는 네트워크의 모든 호스트에 대한 ping을 허용하는 규칙이 포함되어 있습니다(icmp6 유형 128).
문서에서:
UFW를 켜면 기본 규칙 세트(프로필)가 사용되는데, 이는 일반 가정 사용자에게 적합합니다. 이것은 적어도 우분투 개발자의 목표입니다. 즉, "들어오는" 모든 것이 거부됩니다.일부 예외일반 사용자의 작업을 더 쉽게 만듭니다.
DROP/REJECT어쩌면 이러한 규칙을 비활성화하거나 수신/발신 체인의 첫 번째 규칙으로 대상을 추가하기 위해 일부 파일을 편집해야 할 수도 있습니다 .
확인하시기 바랍니다:
https://wiki.ubuntu.com/UncomplicatedFirewall#Advanced_Functionality
https://help.ubuntu.com/community/UFW#Working_with_numbered_rules