AI 摘要
为提升安全,作者在CentOS上通过firewall-cmd禁止IPv6的TCP和UDP入站请求,防止公网暴露风险。尽管运营商未封禁80/443端口,但为合规与安全,选择关闭IPv6入站流量,同时保留出站访问能力,实现安全加固。
之前家宽都申请到了动态公网IP,拥有动态公网IP后,顺手配置 IPV6 公网,且运营商竟然没有封V6的 80 和 443 端口。
而且我试了都是可以正常访问,但是网上也有人说,拿来做网站有被封的风险,抱着合规、安全的态度,还是觉得继续使用V4的端口。
V6全暴露还是有一定的安全风险,但也还要使用v6访问其他外网服务,所以研究一下如何关闭入站请求。
配置防火墙策略
禁止 udp 和 tcp 流量入站
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv6" protocol value="tcp" source address="::/0" reject'
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv6" protocol value="udp" source address="::/0" reject'
firewall-cmd --reload这样就封了入站请求,加固了一下ipv6的安全。
评论 (0)