网络技术之Linux网络的IPv6应用（2）

　　-F ：清除所有的已订定的规则；
　　
　　-X ：杀掉所有使用者建立的表（table）。
　　
　　-Z ：将所有的链(chain) 的计数与流量统计都归零。
　　
　　(2)建立政策
　　
　　#ip6tables [-t tables] [-P] [INPUT,OUTPUT,FORWARD, PREROUTING,OUTPUT,POSTROUTING] [ACCEPT,DROP] [-p TCP,UDP] [-s IP/network] [--sport ports] [-d IP/network] [--dport ports] -j
　　
　　参数说明：
　　
　　-t 　　：定义表（ table）。
　　
　　tables ：table表的名称，
　　
　　-P ：定义政策( Policy )。
　　
　　INPUT ：数据包为输入主机的方向；
　　
　　OUTPUT ：数据包为输出主机的方向；
　　
　　FORWARD ：数据包为不进入主机而向外再传输出去的方向；
　　
　　PREROUTING ：在进入路由之前进行的工作；
　　
　　OUTPUT ：数据包为输出主机的方向；
　　
　　POSTROUTING ：在进入路由之后进行的工作。
　　
　　TCP ：TCP协议的数据包。
　　
　　UDP ：UDP协议的数据包；
　　
　　-s ：来源数据包的 IP 或者是网络。
　　
　　--sport ：来源数据包的端口（ port）号。
　　
　　-d ：目标主机的 IP 或者是网络。
　　
　　--dport ：目标主机端口的（port）号。
　　
　　ACCEPT ：接受该数据包。
　　
　　DROP ：丢弃数据包。
　　
　　（3） 范例：
　　
　　1、允许ICMPv6数据包进入主机（即允许Ping主机Ipv6地址）：
　　
　　#/sbin/ip6tables －A INPUT －i sit+ －p icmpv6 －j ACCEPT
　　
　　2、允许ICMPv6数据包从主机输出：
　　
　　# ip6tables -A OUTPUT -o sit+ -p icmpv6 -j ACCEPT
　　
　　3、允许使用IP地址是3ffe:ffff:100::1/128数据使用SSH
　　
　　# ip6tables -A INPUT -i sit+ -p tcp -s 3ffe:ffff:100::1/128 --sport 512:65535
　　
　　? --dport 22 -j ACCEPT
　　
　　SSH的英文全称是Secure SHell。通过使用SSH，你可以把所有传输的数据进行加密，这样“中间服务器”这种攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提供一个安全的“通道”。SSH绑定在端口22上，其连接采用协商方式使用RSA加密。身份鉴别完成之后，后面的所有流量都使用IDEA进行加密。SSH（Secure　Shell）程序可以通过网络登录到远程主机并执行命令。SSH的加密隧道保护的只是中间传输的安全性，使得任何通常的嗅探工具软件无法获取发送的内容。
　　
　　IPv6网络的安全工具
　　
　　Nmap是在免费软件基金会的GNU General Public License (GPL)下发布的，由Fyodor进行开发和维护，可从www.insecure.org/nmap 站点上免费下载。nmap是一款运行在单一主机和大型网络情况下的优秀端口扫描工具，具有高速、秘密、可以绕过防火墙等特点。它支持多种协议，如TCP、UDP、ICMP等。nmap也具有很多高性能和可靠性的特点，如动态延时计算、包超时重发、并行端口扫描、通过并行ping6探测主机是否当掉。它从3.10版本开始支持IPv6。下载链接：http://gd.tuwien.ac.at/infosys/security/nmap/nmap-3.48.tgz
　　
　　nmap 安装编译过程如下：
　　
　　#tar zxvf nmap-3.48.tgz
　　
　　＃cd nmap-3.48
　　
　　＃ ./configure；＃ make；#make install