首先

我整理了一个备忘录，因为我在寻找有关使用CentOS7（RHEL7系列）的firewalld来设置允许IPv6通信的步骤的实际例子时感到有些困惑。

設定檔案存放處

区域：如果是公共区域的话，我认为会放置在以下位置
– /etc/firewalld/zones/public.xml
默认情况下，我认为只包含sshd、dhcpv6-client等服务。

確認コマンド

$ sudo firewall-cmd --get-active-zones
public
  interfaces: eth1 eth0
trusted
  interfaces: lo

默认拒绝

如果默认拒绝的设置处于开启状态，那么zone的配置文件中的”zone target”应该是设置为DROP的。

<zone target="DROP">

在这种情况下，我认为IPv6的一些行为将被拒绝，如果它们没有与服务相结合。例如：
– 当地址分配为RA（SLAAC）时
– 与同一网段用户的通信
– IPv6下的名称解析
等等

IPv6基本协议许可

如果要允许IPv6的基本协议，可以按照以下方式：
– 允许链路本地单播地址（fe80::/10）
– 允许多播地址（ff00::/8）
等通信。

<?xml version="1.0" encoding="utf-8"?>
<zone target="DROP">
  <short>Public</short>
  <description>hello</description>
  <interface name="eth0"/>
  <rule family="ipv6">
    <destination address="fe80::/10"/>
    <accept/>
  </rule>
  <rule family="ipv6">
    <destination address="ff00::/8"/>
    <accept/>
  </rule>
</zone>

适用

请使用下述命令进行应用

$ sudo firewall-cmd --reload

允许基于地址的IPv6服务。

要允许IPv6服务通过地址+端口进行访问，请添加以下内容。

  <rule family="ipv4">
    <source address="xxx.xxx.xxx.xxx"/>
    <port protocol="tcp" port="443"/>
    <accept/>
  </rule>
  <rule family="ipv6">
    <source address="2xxx:xxxx:xxxx:xxxx::xxxx"/>
    <port protocol="tcp" port="443"/>
    <accept/>
  </rule>