2. 程式人生 > 其它 >debian11_nftables_限制ipv6公網訪問特定埠

debian11_nftables_限制ipv6公網訪問特定埠

阿新 發佈:2022-05-28

debian11_nftables_限制ipv6公網訪問特定埠

轉載註明來源: 本文連結 來自osnosn的部落格,寫於 2022-05-28.

參考

背景環境

  • 現在有不少家用的路由器,比如 TPLINK, 華為路由,都已經支援 ipv6 了。
    但它們預設都不允許從外網,通過ipv6訪問內部的機器。
  • 這些路由器的防火牆配置,ipv4防火牆有一些功能可以設定,ipv6防火牆就只有一個開關。
    關閉這個ipv6防火牆開關之後,其實就把內網的機器完全暴露出去了。
  • 這時候,就需要你自己去配置,內網機器自身的防火牆規則,從而保護內網服務。

僅限制tcp埠的ipv6訪問

  • 這是個簡單的例子。只是為了限制某幾個埠的ipv6公網訪問。
  • debian 安裝 nftables包。啟用nftables服務,apt install nftables; systemctl enable nftables;
    • 如果系統有什麼 restore-iptables 的服務,關掉它。
  • 可以看到 /etc/nftables.conf 中有。
#!/usr/sbin/nft -f
flush ruleset
table inet filter {
        chain input {
                type filter hook input priority 0;
        }
        chain forward {
                type filter hook forward priority 0;
        }
        chain output {
                type filter hook output priority 0;
        }
}
  • 只需要增加兩行,就可以針對ipv6,限制埠從外網訪問。比如限制22,8888,1080 三個tcp口。改為,
    這個規則隻影響ipv6,不影響ipv4。
#!/usr/sbin/nft -f

define ipv6_ports = { 22,8888,1080 }
flush ruleset
table inet filter {
        chain input {
                type filter hook input priority 0;
                ip6 saddr { fd00::/8, fe80::/64 } tcp dport $ipv6_ports ct state { new, untracked } accept;
                ip6 saddr ::/0 tcp dport $ipv6_ports ct state { new, untracked } drop;
        }
        chain forward {
                type filter hook forward priority 0;
        }
        chain output {
                type filter hook output priority 0;
        }
}
  • 增加的第二行,可以用 drop,也可用 reject,看你自己喜歡。
    drop,訪問時,沒反應。
    reject,訪問時,馬上返回 Connection refused。
  • 修改後,執行 nft -f /etc/nftables.conf 生效。
    或者重啟整個系統。

----end----

轉載註明來源: 本文連結 https://www.cnblogs.com/osnosn/p/16320603.html
來自 osnosn的部落格 https://www.cnblogs.com/osnosn/ .

相關推薦

debian11_nftables_限制ipv6公網訪問特定

debian11_nftables_限制ipv6公網訪問特定 轉載註明來源: 本文連結 來自osnosn的部落格,寫於 2022-05-28.

群暉NAS設定IPV6公網訪問

映象下載、域名解析、時間同步請點選 阿里雲開源映象站 群暉NAS設定IPV6公網訪問

配置IPv6公網地址DDNS並開放外網訪問

目前使用三大運營商寬頻服務都會下發公網IPv6地址,這樣我們想要在外網訪問家裡的路由、NAS等裝置就可以直接通過IPv6地址來訪問了。但是每次重新撥號後IPv6地址都會改變,而且IPv6的地址很長,這樣就引出了動態域名服

使用nginx限制使用者的訪問

使用ngx_http_limit_req_module限制使用者訪問 該模組使用的是漏斗演算法來進行限制

SQL Server 設定新使用者只能檢視並訪問特定資料庫

解決方案 1、先給不同的服務商建立不同的登入名(如下以一個服務商為例) 2.將登入名加入到public伺服器角色中

Win10電腦系統限制使用者禁止訪問磁碟內容的方法

在我們的電腦中,總會有一些重要的資料或者檔案並不想讓別人看到,為了讓他人無法檢視,我們通常的做法就是設定密碼,但在這裡,小編教給大家Win10系統限制使用者禁止訪問磁碟內容的方法。

Win10怎麼禁止訪問特定網站?

關於如何讓Win10禁止訪問特定網站?如果你想禁止電腦訪問特定網站,可以通過修改hosts檔案來實現,具體怎麼做,大家可以跟著下面的方法一起來。

nginx 正則限制 客戶端訪問

nginx 匹配 請求字尾 並限制訪問 location /group1 { set $dfs_url 0; if ( $request_uri = /group1 ){

neo4j 開啟遠端web訪問7474 以 用瀏覽器開啟遠端neo4j的web控制檯介面

2019獨角獸企業重金招聘Python工程師標準>>> 一、對於3.0以前的版本 在安裝目錄的 $NEO4J_HOME/conf/neo4j.conf 檔案內,找到下面一行,將註釋#號去掉就可以了 #dbms.connector.https.address=

如何解決 Nginx 對映到外網後訪問地址丟失的問題

1. 問題說明 一個手機h5頁面的專案,使用nginx(監聽80)進行訪問,內網訪問的地址是192.168.12.125/h5,訪問正常,nginx中的配置如下:

c# 防火牆新增/刪除 特定的示例

  針對將特定加入到windows系統的防火牆中,使其允許或禁止通過防火牆。其大概思路是:

【應用服務 App Service】 App Service Rewrite 例項 -- 限制站點的訪問

問題描述 在Azure App Service中,當需要限制某些特殊的情況對其進行訪問時候,可以通過IP限制,邏輯程式碼判斷,或者Rewrite規則。通過IP限制則需要知道客戶端訪問的IP,而通過邏輯程式碼則需要對應用程式碼進行修改

Linux系統通過firewall限制或開放IP及

一、檢視防火牆狀態 1、首先檢視防火牆是否開啟,如未開啟,需要先開啟防火牆並作開機自啟

限制不同使用者訪問K8S叢集

一、SSL認證 1、生成一個證書 (1)生成一個私鑰 cd /etc/kubernetes/pki/ (umask 077; openssl genrsa -out lucky.key 2048)

Docker開啟Remote API 訪問 2375

技術標籤:Dockerdocker Docker常見 我看到的常見docker包括: 2375:未加密的docker socket,遠端root無密碼訪問主機 2376:tls加密套接字,很可能這是您的CI伺服器4243作為https 443的修改 2377:群集模

限制使用者非正常訪問

簡介 原.NET程式碼實現請見本文最下方,這裡我嘗試使用瀑布開發模型對問題進行逐一分析(列出了一部分問題,但是並非所有問題),這樣更方便你理解這些思想及認識到系統安全的重要性。

客戶端訪問百度的整個過程_如何通過公網訪問樹莓派

技術標籤:客戶端訪問百度的整個過程 一.問題 樹莓派我們在搭建使用過程中,一般電腦和樹莓派連到一個網路裡,然後通過區域網進行訪問。那麼如果我們需要和其他人進行團隊合作,或者遠端訪問樹莓派怎麼辦呢?

使用netstat命令檢視連線到伺服器特定的所有IP地址

技術標籤:運維 0 Linux檢視連線到伺服器特定的所有IP地址 我們以80為例,執行過程中,由於列表過長,可能存在一段時間等待。如果要檢視其它,替換即可。

centos8 無法訪問80

centos8 無法訪問80? 80打不開?多半是被牆了 只需下面幾個步驟,麻麻再也不擔心我快樂的瀏覽網頁了

獲取使用者IP並限制時間內訪問次數

首先獲取使用者IP地址: public function ipPrevent() { if (getenv(\'HTTP_CLIENT_IP\')) { $ip = getenv(\'HTTP_CLIENT_IP\');