Луна.ч — На днях подключу ipv6. Как настроить firewall...

>>74192

№74041 03/11/24 20:1X | >>

>>74039

Присоединяюсь к вопросу.

Ответы:

№74055 03/11/24 20:4X | >>

JPG, 53.49Кб, 506x446

>>74039

>>74041

Настучал о вас в ФСБ.
Для Windows

Открытие Windows Defender Firewall:
Нажмите Win + R, введите wf.msc и нажмите Enter.

Блокировка входящего трафика по умолчанию:
В левой панели выберите "Свойства Windows Defender Firewall".
Для каждой сети (Доменная, Частная, Общедоступная) установите "Блокировать все входящие подключения".

Разрешение исходящего трафика:
По умолчанию исходящий трафик разрешен. Убедитесь, что это так.

Разрешение нужного входящего трафика:
В левой панели выберите "Правила для входящих подключений".
Нажмите "Создать правило" и выберите "Порт".
Укажите нужные порты (например, 80 для HTTP, 443 для HTTPS, 22 для SSH) и выберите "Разрешить подключение".

Разрешение ICMPv6:
Создайте новое правило для ICMPv6:
Выберите "Типы протоколов" и укажите "ICMPv6".

Для Linux (с использованием ip6tables)

Открытие терминала.

Блокировка входящего трафика по умолчанию:

sudo ip6tables -P INPUT DROP

Разрешение исходящего трафика:

sudo ip6tables -P OUTPUT ACCEPT

Разрешение нужного входящего трафика:

Для HTTP:

sudo ip6tables -A INPUT -p t***** --dport 80 -j ACCEPT

Для HTTPS:

sudo ip6tables -A INPUT -p t***** --dport 443 -j ACCEPT

Для SSH:

sudo ip6tables -A INPUT -p t***** --dport 22 -j ACCEPT

Разрешение ICMPv6:

sudo ip6tables -A INPUT -p icmpv6 -j ACCEPT

Проверка работы

Windows: Используйте команду ping -6 <адрес> в командной строке для проверки.
Linux: Используйте команду ping6 <адрес> в терминале.

Ответы:

>>74064

>>74082

№74064 03/11/24 21:3X | >>

Спасибо. Но зачем для винды настройка. нужно же все на роутере наастраивать, а там линь

Ответы:

>>74081

№74081 03/11/24 22:0X | >>

>>74064

1.Войдите в веб-интерфейс роутера.
2. Выберите раздел "Безопасность" или "Файрвол".
3. Включите поддержку IPv6 в файрволе.
4. Создайте новое правило для входящих соединений.
5. Выберите протокол (например, "T*****") и укажите номер порта.
6. Выберите действие (например, "Блокировать соединение").
7. Включите правило.

Также обратите внимание, что некоторые роутеры могут иметь функцию "Stateless Address Autoconfiguration" (SLAAC), которая позволяет устройствам автоматически получать IP-адреса без необходимости ручной настройки. Однако это требует дополнительной настройки на роутере и в операционной системе.

Дополнительные рекомендации

1. Обязательно включите поддержку IPv6 в файрволе на роутере и в операционной системе.
2. Создайте правила для входящих соединений, чтобы блокировать нежелательный трафик.
3. Используйте функцию "Stateless Address Autoconfiguration" (SLAAC), если она доступна на вашем роутере.
4. Регулярно обновляйте прошивку роутера и операционной системы, чтобы обеспечить защиту от уязвимостей.

№74082 03/11/24 22:0X | >>

> ip6tables -P INPUT DROP
Этим ты запретишь не только входящие соединения, но и весь остальной входящий трафик, включая ответы на исходящие запросы. Надо разрешить хотя бы -m state --state ESTABLISHED,RELATED.

Кроме того, пока не наставишь каких-нибудь слушающих сеть демонов, портов наружу не открывается и смысла в запрете входящих соединений нет.

> ip6tables -P OUTPUT ACCEPT
Это дефолт, т.е. эта команда ничего не поменяет. Причём хуёвый дефолт, если юзер заботится о приватности: при таких настройках любой софт будет вылезать в сеть неконтролируемо. Я бы сделал -P OUTPUT DROP, далее правила для разрешения нужного трафика, и в конце -J LOG для выявления непрошеной сетевой активности.

Ответы:

>>74083

№74083 03/11/24 22:1X | >>

>>74082

Ну а зачем ему входящий трафик?

Ответы:

№74084 03/11/24 22:1X | >>

А нахуй это делать вообще? что плохого может случиться без фаервола?

Ответы:

№74085 03/11/24 22:1X | >>

# Включить поддержку IPv6 в файрволе
ufw enable ipv6

# Блокировать трафик из диапазона 2001:db8::/64
ufw deny ipv6 from 2001:db8::/64

# Разрешить трафик из диапазона 2001:db8::/64 для конкретного порта
ufw allow ipv6 from 2001:db8::/64 to any port 80

№74086 03/11/24 22:1X | >>

# Включить поддержку IPv6 в файрволе
iptables -A INPUT -p ipv6 -j ACCEPT

# Блокировать трафик из диапазона 2001:db8::/64
iptables -A INPUT -p ipv6 -s 2001:db8::/64 -j DROP

# Разрешить трафик из диапазона 2001:db8::/64 для конкретного порта
iptables -A INPUT -p ipv6 -s 2001:db8::/64 --dport 80 -j ACCEPT

№74087 03/11/24 22:1X | >>

# Включить поддержку IPv6 в файрволе
firewall-cmd --permanent --zone=public --add-protocol=ipv6

# Блокировать трафик из диапазона 2001:db8::/64
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv6 source address=2001:db8::/64 reject'

# Разрешить трафик из диапазона 2001:db8::/64 для конкретного порта
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv6 source address=2001:db8::/64 port port=80 protocol=t***** accept'

№74088 03/11/24 22:1X | >>

>>74083

Зачем что либо читать, если можно только писать вопросы?

>>74084

> А нахуй это делать вообще?
В том виде, в котором это предлагает

— незачем.
> что плохого может случиться без фаервола?
1. Что-то, что ты не хотел распространять, утечёт в сеть.
2. Что-то, что ты не готов принимать, придёт из сети.

Ответы:

>>74089

>>74093

№74089 03/11/24 22:2X | >>

Говно тупое ты, иди матчасть учи.

Ответы:

>>74095

№74092 03/11/24 22:2X | >>

ASUS RT-AC86U

Войдите в веб-интерфейс роутера по адресу https://192.168.1.1.
Выберите раздел "Безопасность" > "Файрвол".
Включите поддержку IPv6 в файрволе.
Создайте новое правило для входящих соединений.
Выберите протокол (например, "T*****") и укажите номер порта.
Выберите действие (например, "Блокировать соединение").
Включите правило.

TP-Link Archer C7

Войдите в веб-интерфейс роутера по адресу https://192.168.0.1.
Выберите раздел "Безопасность" > "Файрвол".
Включите поддержку IPv6 в файрволе.
Создайте новое правило для входящих соединений.
Выберите протокол (например, "T*****") и укажите номер порта.
Выберите действие (например, "Блокировать соединение").
Включите правило.

Netgear Nighthawk R7000

Войдите в веб-интерфейс роутера по адресу https://192.168.1.1.
Выберите раздел "Безопасность" > "Файрвол".
Включите поддержку IPv6 в файрволе.
Создайте новое правило для входящих соединений.
Выберите протокол (например, "T*****") и укажите номер порта.
Выберите действие (например, "Блокировать соединение").
Включите правило.

№74093 03/11/24 22:2X | >>

Каким образом? И нахуя это все на роутере настраивать? Откуда роутер знает как должен вести себя трафик, особенно если это домашняя сеть в которую может легко добавиться новое устройство с запущенным торрентом. Или мобильный телефон с программой для звонков по интернету. Роутер же не сможет отличить такой вот полезный трафик от нежелательного. Ну а что касается фаервола на устройствах, так нахуя они там нужны, если я слежу за программами на компе? Дряни не запускаю, вебсервисов не держу? У меня на арче наверняка никакого фаервовола нет и я об этом даже не думал и не понимаю нахуя мне учить правила работы с ним сейчас

Ответы:

>>74100

№74095 03/11/24 22:2X | >>

>>74089

Конечно-конечно, уже бегу!
А что это так бумкнуло?

№74100 03/11/24 22:3X | >>

>>74093

> Каким образом?
Каким образом что?
> И нахуя это все на роутере настраивать?
Можно и не на роутере. Это как тебе удобнее.
Блокировку исходящего трафика удобнее настраивать на устройстве, с которого он исходит, но это менее надёжно.
> Откуда роутер знает как должен вести себя трафик
Если ты ему не объяснишь — ниоткуда.
> Дряни не запускаю
Даже веб-браузеры не запускаешь? Или просто не знаешь, что и куда они сливают?

Ответы:

>>74103

№74103 03/11/24 22:4X | >>

>>74100

> Каким образом что?
Это
> 1. Что-то, что ты не хотел распространять, утечёт в сеть.
> 2. Что-то, что ты не готов принимать, придёт из сети.
> Если ты ему не объяснишь — ниоткуда.
Я же не могу правило на все случаи написать. Просто потому что с точки зрения роутера трафик к not-a-logger.virus не отличается от трафика к youtube.com
> Даже веб-браузеры не запускаешь? Или просто не знаешь, что и куда они сливают?
Запускаю, сливают. Но что ты предлагаешь? Забанить весь трафик к mozzila.org? Типо все остальные сайты точно не принадлежат корпорастам которые продают мои данные? Я если что без агрессии и претений к тебе пишу. Просто пока реально не понимаю зачем я должен тратить время на настройку фаервола

Ответы:

>>74120

№74120 03/11/24 23:0X | >>

>>74103

> Я же не могу правило на все случаи написать.
Правила, а не правило. Конечно: правила фаервола постоянно дополняются под новые случаи.
> с точки зрения роутера трафик к not-a-logger.virus не отличается от трафика к youtube.com
Можно сделать так, чтобы различался. Например, метить его на хосте-источнике (тегом VLAN ID или как-то ещё).
> Но что ты предлагаешь?
Не использовать говно с зондами вместо веб-браузера. А если приходится использовать, то с жёсткими правилами фаервола, с запретом исходящего трафика по умолчанию.
> Забанить весь трафик к mozzila.org?
Посещаемые тобой урлы сливаются не на mozilla.org, а на safebrowsing.google.com. И это не единственный зонд в Firefox.
> зачем я должен тратить время на настройку фаервола
Ты никому ничего не должен. Не хочешь разбираться, придумавать решения, страдать от нежелания ходить в интернет "как проще" — можешь не париться и продолжать использовать зонды, как 99% пользователей. Красная таблетка далеко не сладкая.

Олсо, фаервол — не панацея, это лишь один из инструментов.

Ответы:

>>74133

№74133 03/11/24 23:2X | >>

>>74120

Ясно. Я остался при своём мнении

Ответы:

>>74166

№74166 04/11/24 01:0X | >>

>>74133

Ну так поделись им хотя бы.

Ответы:

>>74175

№74175 04/11/24 01:2X | >>

>>74166

Мне фаервол не нужен

№74192 04/11/24 02:3X | >>

>>74039

Отключай обратно, это мертворожденное говно не нужно.

Ответы:

>>74193

>>74194

№74193 04/11/24 02:3X | >>

>>74192

На луначе тоже внушительный процент долбаёбов, оказывается. Хоть и не такой, как на мейлаче.

Ответы:

>>74196

№74194 04/11/24 02:3X | >>

>>74192

Он наверно для сервера.

№74196 04/11/24 02:4X | >>

>>74193

Если все перейдут на IPv6 то это будет концом хоть какой-то анонимности. Буквально это будет твой паспорт.

Ответы:

>>74212

>>74335

№74212 04/11/24 03:2X | >>

>>74196

Ты только подтвердил мой пост. НАТ не делает тебя анонимусом. Он только кастрирует интернет.

№74335 04/11/24 13:5X | >>

>>74196

Концом интернета, скорее. Поэтому за свою омномнимость можешь не переживать.

№74977 05/11/24 14:1X | >>

Еще вопрос.
1) Вот провайдер мне выделит /60, то есть, как я понимаю, максимум у 16 устройств будет свой ip. Что случится при добавлении 17го устройства?
2) Как на одной машине получить несколько ip, чтобы разные инстансы i2pd могли выходить в сеть под разными ip?

Ответы:

>>74988

№74988 05/11/24 14:3X | >>

>>74977

Не 16 адресов, а 16 подсетей /64, а это 2^68 адресов.

Ответы:

>>74991

>>74995

№74991 05/11/24 14:4X | >>

>>74988

Но автоназначение адреса работает только на /64. Или я неправильно понимаю?

№74995 05/11/24 14:5X | >>

>>74988

Если ты про prefix delegation, то у тебя может быть 16 устройств, каждое из которых раздаёт по /64 адресов другим устройствам. А всего их будет, сколько я написал ранее.

Ответы:

>>74999

№74999 05/11/24 15:0X | >>

>>74995

Ладно, видимо я тогда не так понял и это нужно для организации кучи локалок, если у меня для каждой из них свой роутер и я хочу, чтобы все эти роутеры сами разобрались с адресами для своих локалок. А если у меня 1 локалка, то и /64 мне хватит. Верно?
Вот я попросил /60 у провайдера. Какие мои дальнейшие действия, чтобы я могу запустить 2 i2p роутера с разными ipv6 адресами?

№75009 05/11/24 15:1X | >>

Поищи сам, я устал.

Ответы:

>>75011

№75011 05/11/24 15:1X | >>

>>75009

Ладно, спасибо за ответы

№75309 05/11/24 23:1X | >>

Так я и не понял, как все-таки запретить доступ устройствам извне локалки в этом вашем IPv6.

Ответы:

>>75310

>>75312

№75310 05/11/24 23:1X | >>

>>75309

*к устройствам

№75312 05/11/24 23:1X | >>

>>75309

Трясешься пиггер?

№75313 05/11/24 23:1X | >>

>>75309

На роутере:
ip6tables -t filter -A FORWARD -s eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -t filter -A FORWARD -s eth0 -j DROP

eth0 — внешний интерфейс (через который подключается интернет).

Ответы:

№75399 06/11/24 02:5X | >>

Для полноценной работы ipv6 желательно разрешать icmpv6.

№75450 06/11/24 06:0X | >>

ебать IPv6 ебать.

1) мне IPv6 нужно для очень специальных применений: обход росинтернетнадзора, работа бриджей IPv6, пиры IPv6 в i2p и торрентах.

2) если нужна будет внутрянка IPv6, я решил так: выберу минимальное подмножество из IPv6, работающее так же как IPv4 и буду реализовывать только его. то есть ебаные продвинутые фичи типа link local address на каждый интерфейс не нужны и должны быть отключены, router discovery или как его там не нужен и будет отключен, адреса будут раздаваться через DH*****v6 и т.п.

кстати на линупсе автоадреса v6 убираются так:
#!/bin/sh
AIF=$( ip link show | grep '^[0-9]' | cut -f 2 -d ':' | cut -f 1 -d '@' | sed -e 's:\ ::g' )
ALL=$( ip a | grep inet6 | grep scope | grep link | grep fe80 | cut -f 6 -d ' ' )

for I in $AIF ; do
for A in $ALL ; do
ip addr del $A dev $I > /dev/null 2>&1
done
done

№75682 06/11/24 13:3X | >>

А разрешить отдельным устройствам?

Ответы:

>>75697

№75686 06/11/24 13:3X | >>

Так, блядь. Где вы это вводите?

Ответы:

>>75697

№75697 06/11/24 13:4X | >>

>>75686

Запили на роутер что-то вроде OpenWRT (подходят только определённые модели роутеров) или сделай роутер из старого писюка с двумя сетевухами.

>>75682

Между двумя командами из