之前家宽都申请到了动态公网IP,拥有动态公网IP后,顺手配置 IPV6 公网,且运营商竟然没有封V6的 80 和 443 端口。
而且我试了都是可以正常访问,但是网上也有人说,拿来做网站有被封的风险,抱着合规、安全的态度,还是觉得继续使用V4的端口。
V6全暴露还是有一定的安全风险,但也还要使用v6访问其他外网服务,所以研究一下如何关闭入站请求。
配置防火墙策略
禁止 udp 和 tcp 流量入站
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv6" protocol value="tcp" source address="::/0" reject'
firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv6" protocol value="udp" source address="::/0" reject'
firewall-cmd --reload这样就封了入站请求,加固了一下ipv6的安全。
评论 (0)