ipv6でping応答を拒否する
私のipv6アドレスでのping応答を拒否する方法を知りたいのですが。私たちは仕事でipv6のpingフラッドをいじっていますが、icmp要求をブロックする通常の方法は機能しません。
Imcpフォルダー(Linuxの場合)にプリインストールされているスクリプトを試してみましたが、ipv6にはそれぞれのスクリプトがありません。
私はまた、運が悪かったiptablesをフォローするように試みました:
/sbin/iptables -A OUTPUT -p icmp -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp –icmp-type echo-reply -s 0/0 -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp –icmp-type destination-unreachable -s 0/0 -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp –icmp-type time-exceeded -s 0/0 -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -i eth0 -j DROP
それが可能かどうか、そしてwinおよびmacOSXマシンでもどのようにできるかを知っておくとよいでしょう。
まず、警告の言葉。特定の種類のICMPv6トラフィックをドロップすると、ネットワークが完全に破壊される可能性があります。ですから、何をするか、落とさないように十分注意してください。 RFC 489 は、何をすべきか、何をすべきでないかを学ぶことから始めるのに最適な場所です。
それが邪魔にならないように...
あなたが与えたあなたの例は、IPv4トラフィックのみを管理するiptablesを使用しています。 IPv6ファイアウォールは独立しており、ip6tablesを介して管理されます。
たとえば、本当に着信pingをドロップしたい場合は、次のようにすることができます(推奨されません。RFCを参照してください)。
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -j DROP
ip6tablesのマニュアルページを参照してください。上記のRFCには、いくつかのip6tablesサンプル構成も含まれています。