Linux網路的IPv6應用（2）

Linux網路的IPv6應用（2）[@more@]Linux網路的IPv6應用（2） 作者:曹江華 2004年04月09日 18:10 來源:賽迪網-網管員世界
：

-F ：清除所有的已訂定的規則；

-X ：殺掉所有使用者建立的表（table）。

-Z ：將所有的鏈(chain) 的計數與流量統計都歸零。

(2)建立政策

#ip6tables [-t tables] [-P] [INPUT,OUTPUT,FORWARD, PREROUTING,OUTPUT,POSTROUTING] [ACCEPT,DROP] [-p TCP,UDP] [-s IP/network] [--sport ports] [-d IP/network] [--dport ports] -j

引數說明：

-t 　　：定義表（ table）。

tables ：table表的名稱，

-P ：定義政策( Policy )。

INPUT ：資料包為輸入主機的方向；

OUTPUT ：資料包為輸出主機的方向；

FORWARD ：資料包為不進入主機而向外再傳輸出去的方向；

PREROUTING ：在進入路由之前進行的工作；

OUTPUT ：資料包為輸出主機的方向；

POSTROUTING ：在進入路由之後進行的工作。

TCP ：TCP協議的資料包。

UDP ：UDP協議的資料包；

-s ：來源資料包的 IP 或者是網路。

--sport ：來源資料包的埠（ port）號。

-d ：目標主機的 IP 或者是網路。

--dport ：目標主機埠的（port）號。

ACCEPT ：接受該資料包。

DROP ：丟棄資料包。

（3） 範例：

1、允許ICMPv6資料包進入主機（即允許Ping主機Ipv6地址）：

#/sbin/ip6tables －A INPUT －i sit+ －p icmpv6 －j ACCEPT

2、允許ICMPv6資料包從主機輸出：

# ip6tables -A OUTPUT -o sit+ -p icmpv6 -j ACCEPT

3、允許使用IP地址是3ffe:ffff:100::1/128資料使用SSH

# ip6tables -A INPUT -i sit+ -p tcp -s 3ffe:ffff:100::1/128 --sport 512:65535

? --dport 22 -j ACCEPT

SSH的英文全稱是Secure SHell。透過使用SSH，你可以把所有傳輸的資料進行加密，這樣“中間伺服器”這種攻擊方式就不可能實現了，而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的資料是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，它既可以代替telnet，又可以為ftp、pop、甚至ppp提供一個安全的“通道”。SSH繫結在埠22上，其連線採用協商方式使用RSA加密。身份鑑別完成之後，後面的所有流量都使用IDEA進行加密。SSH（Secure　Shell）程式可以透過網路登入到遠端主機並執行命令。SSH的加密隧道保護的只是中間傳輸的安全性，使得任何通常的嗅探工具軟體無法獲取傳送的內容。

IPv6網路的安全工具

Nmap是在免費軟體基金會的GNU General Public License (GPL)下發布的，由Fyodor進行開發和維護，可從www.insecure.org/nmap 站點上免費下載。nmap是一款執行在單一主機和大型網路情況下的優秀埠掃描工具，具有高速、秘密、可以繞過防火牆等特點。它支援多種協議，如TCP、UDP、ICMP等。nmap也具有很多高效能和可靠性的特點，如動態延時計算、包超時重發、並行埠掃描、透過並行ping6探測主機是否當掉。它從3.10版本開始支援IPv6。下載連結：http://gd.tuwien.ac.at/infosys/security/nmap/nmap-3.48.tgz

nmap 安裝編譯過程如下：

#tar zxvf nmap-3.48.tgz

＃cd nmap-3.48

＃ ./configure；＃ make；#make install