Busindre

User Tools

Site Tools

Trace: iptables_y_funcionamiento_de_ipv6_dhcp
iptables_y_funcionamiento_de_ipv6_dhcp

Regla de iptables para permitir que IPv6 opere sin problemas

Aunque IPv6 resuelve la auto configuración de direcciones, lo cual es la principal motivación de DHCP en IPv4. DHCPv6​ aún tiene más sentido, ya que le brinda más control al administrador de la red sobre las asignaciones, así como mayor amplitud en la configuración de servicios de red. De esta manera a parte de que el cliente pueda solicitar direcciones IPsv6, si hay cambios en la red o se agregan nuevos servicios, el servidor dhcp6 también informa a los nodos de la nueva configuración.

Normalmente casi todas las empresas de datacenter / virtualización ofrecen mediante dhcp6 la posibilidad de configurar las direcciones IPv6 del servicio contratado. Cuando nos encontramos con este tipo de redes ipv6 y queremos configurar iptables, si no se va a usar una configuración estática, se debe tener en cuenta permitir dhcp6 en iptables. Esta regla de iptables debería de hacer funcionar IPv6 en la gran mayoría de entornos.

ICMPv6 también juega un papel importante en IPv6, este protocolo de propósito múltiple está diseñado para realizar funciones tales como detectar errores encontrados en la interpretación de paquetes, realizar diagnósticos, realizar funciones como Neighbor Discovery y detectar direcciones IPv6 multicast.

Fichero de reglas IPv6, por ejemplo /etc/iptables/ip6tables.rules 

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# Permitir uso de conectividad IPv6 (ICMPv6 y DHCPv6).
-A INPUT -p icmpv6 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 546 --sport 547 -s fe80::/10 -d fe80::/10 -j ACCEPT
 
# Configuración de puertos que se permiten, por ejemplo solo el acceso al 22.
# -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
 
 
# Denegar el resto.
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited

Esta configuración, de descomentar la linea referente al puerto 22, permitiría únicamente conexiones entrantes al puerto 22 en todas las interfaces IPv6. También permite el uso de IPv6 en general (gracias a icmpv6) y obtener su configuración por dhcpv6 (Puerto 546).

Configurar IPv6 estática mediante dhcpcd

configurar IPv6 de manera estática usando los scripts-hooks de dhcpcd

iptables_y_funcionamiento_de_ipv6_dhcp.txt · Last modified: 2020/12/25 22:57 by 127.0.0.1