-F :清除所有的已訂定的規則; -X :殺掉所有使用者建立的表(table)。 -Z :將所有的鏈(chain) 的計數與流量統計都歸零。 (2)建立政策 #ip6tables [-t tables] [-P] [INPUT,OUTPUT,FORWARD, PREROUTING,OUTPUT,POSTROUTING] [A CC EPT,DROP] [-p TCP,UDP]
-F :清除所有的已訂定的規則;
-X :殺掉所有使用者建立的表(table)。
-Z :將所有的鏈(chain) 的計數與流量統計都歸零。
(2)建立政策
#ip6tables [-t tables] [-P] [INPUT,OUTPUT,FORWARD, PREROUTING,OUTPUT,POSTROUTING] [A
CCEPT,DROP] [-p TCP,UDP] [-s IP/network] [--sport ports] [-d IP/network] [--dport ports] -j
參數說明:
-t :定義表( table)。
tables :table表的名稱,
-P :定義政策( Policy )。
INPUT :數據包為輸入主機的方向;
OUTPUT :數據包為輸出主機的方向;
FORWARD :數據包為不進入主機而向外再傳輸出去的方向;
PREROUTING :在進入路由之前進行的工作;
OUTPUT :數據包為輸出主機的方向;
POSTROUTING :在進入路由之後進行的工作。
TCP :TCP協議的數據包。
UDP :UDP協議的數據包;
-s :來源數據包的 IP 或者是
網絡。
--sport :來源數據包的端口( port)號。
-d :目標主機的 IP 或者是網絡。
--dport :目標主機端口的(port)號。
ACCEPT :接受該數據包。
DROP :丟棄數據包。
(3) 范例:
1、允許ICMPv6數據包進入主機(即允許Ping主機Ipv6地址):
#/sbin/ip6tables -A INPUT -i sit+ -p icmpv6 -j ACCEPT
2、允許ICMPv6數據包從主機輸出:
# ip6tables -A OUTPUT -o sit+ -p icmpv6 -j ACCEPT
3、允許使用IP地址是3ffe:ffff:100::1/128數據使用SSH
# ip6tables -A INPUT -i sit+ -p tcp -s 3ffe:ffff:100::1/128 --sport 512:65535
? --dport 22 -j ACCEPT
SSH的英文全稱是Secure SHell。通過使用SSH,你可以把所有傳輸的數據進行加密,這樣“中間
服務器”這種攻擊方式就不可能實現了,而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸的數據是經過壓縮的,所以可以加快傳輸的速度。SSH有很多功能,它既可以代替telnet,又可以為ftp、pop、甚至ppp提供一個安全的“通道”。SSH綁定在端口22上,其連接采用協商方式使用RSA加密。身份鑒別完成之後,後面的所有流量都使用IDEA進行加密。SSH(Secure Shell)程序可以通過網絡登錄到遠程主機並執行命令。SSH的加密隧道保護的只是中間傳輸的安全性,使得任何通常的嗅探工具軟件無法獲取發送的內容。
IPv6網絡的安全工具
Nmap是在免費軟件基金會的GNU General Public License (GPL)下發布的,由Fyodor進行
開發和維護,可從www.insecure.org/nmap 站點上免費
下載。nmap是一款運行在單一主機和大型網絡情況下的優秀端口掃描工具,具有高速、秘密、可以繞過防火牆等特點。它支持多種協議,如TCP、UDP、ICMP等。nmap也具有很多高
性能和
可靠性的特點,如動態延時計算、包超時重發、並行端口掃描、通過並行ping6探測主機是否當掉。它從3.10版本開始支持IPv6。下載鏈接:http://gd.tuwien.ac.at/infosys/security/nmap/nmap-3.48.tgz
nmap 安裝編譯過程如下:
#tar zxvf nmap-3.48.tgz
#cd nmap-3.48
# ./configure;# make;#make install
