Debianにiptablesでファイアウォールの設定。

私的利用のクライアントPCなので設定しなくても問題ないかもしれないけど、気分的なあれで設定した。(以下、参考サイト)

• iptables - Debian Wiki
• iptables - ArchWiki
• シンプルなステートフルファイアウォール - ArchWiki

ipv4。ログの設定はしていない。

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
COMMIT

ipv6。

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmpv6 -j ACCEPT
# DHCP
-A INPUT -p udp --sport 547 -j ACCEPT
-A INPUT -p udp --dport 547 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited
-A OUTPUT -j ACCEPT
COMMIT

ipv6の設定ってあまり見かけないので、ipv4のを元に書いた。ipv6は仕様がよく分かっていないので、DHCPを使用している(ipv4は固定にしている)のだけど、その場合547ポートを許可する必要がある。ICMPv6もよく分からん。Echo Request (type 128)だけ許可すればいいような気がしたけど、DHCPとも関係しているのか上手く繋がらないので、ICMPv6は全部許可している。

ipv6に関連してfirefoxの設定。

www.google.comとか一部のサイトに繋がりにくいことがある。about:configから下記の設定を行った。

network.dns.disableIPv6; true