Отключение правил IPv6 в UFW на Linux

IPv6 (Internet Protocol version 6) — это следующий стандарт IP-протокола, использующий 128-битные адреса. UFW (Uncomplicated Firewall) по умолчанию создаёт правила и для IPv4, и для IPv6. В большинстве локальных сценариев и на настольных ПК достаточно правил IPv4; отключение IPv6 в UFW уменьшает поверхность атаки и упрощает конфигурацию.

Кому это нужно и когда стоит отключать IPv6

• Настольные компьютеры и рабочие станции, которые не используют IPv6-соединения.
• Локальные серверы без поддержки IPv6 в сети провайдера или в дата-центре.
• Случаи, когда вы хотите упростить аудит правил брандмауэра.

Когда нельзя отключать IPv6:

• Сервисы, рассчитанные на работу в IPv6-сети (например, если у вас публичные AAAA-записи DNS).
• Сети с внутренним или провайдерским IPv6, где трафик идёт только по IPv6.

Важно: отключение правил IPv6 в UFW не отключает сам IPv6 на уровне ядра. Если вам нужно полностью убрать поддержку IPv6, действуйте на уровне sysctl или конфигурации сетевого интерфейса.

Просмотр правил UFW

Чтобы увидеть текущие правила UFW, выполните:

sudo ufw status

Для более подробного вывода используйте:

sudo ufw status verbose

Вывод показывает отдельно правила для IPv4 и IPv6. Если вы видите активные правила для обеих стеков, это значит, что UFW был настроен с поддержкой IPv6.

Как отключить правила IPv6 в UFW

1. Откройте конфигурационный файл UFW в редакторе с правами администратора:

sudo vim /etc/default/ufw

2. Найдите строку с параметром IPv6 и измените её на no:

# Убедитесь, что строка выглядит так
IPv6=no

3. Сохраните файл и перезагрузите конфигурацию UFW:

sudo ufw reload

4. Проверьте статус:

sudo ufw status

После этого в выводе будут отображаться только IPv4-правила.

Команды и шпаргалка

• Показать статус: sudo ufw status
• Показать подробный статус: sudo ufw status verbose
• Перезагрузить конфигурацию: sudo ufw reload
• Открыть конфиг для редактирования: sudo vim /etc/default/ufw
• Проверить IPv6-адреса интерфейсов: ip -6 addr show

Альтернативные подходы

• Отключить IPv6 на уровне ядра (sysctl):

sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1

Добавьте эти параметры в /etc/sysctl.conf или /etc/sysctl.d/*.conf для постоянства. Учтите, что это отключит IPv6 для всей системы, а не только для UFW.

• Ограничить доступ на сетевом оборудовании или в облаке — если инфраструктура управляется провайдером, лучше отключать IPv6 на маршрутизаторе/файрволе провайдера.

Ментальная модель: почему UFW хранит правила отдельно

UFW управляет двумя таблицами правил: одна для IPv4 (inet), другая для IPv6 (inet6). Это означает, что правило, разрешающее порт 22 для IPv4, не автоматически применится к IPv6. Отключая IPv6 в конфиге UFW, вы говорите: «не создавать и не поддерживать таблицу inet6».

Когда отключение не сработает — проверка и типичные ошибки

• Вы отключили IPv6 в /etc/default/ufw, но всё ещё видите IPv6-адреса в ip -6 addr show — это нормально: UFW перестаёт создавать правила для IPv6, но сам стек IPv6 может оставаться активным.
• На системах с сетевыми менеджерами (NetworkManager, cloud-init) требуется дополнительная настройка, чтобы отключение IPv6 стало полным.
• Если UFW был выключен при изменении конфигурации, включите его обратно: sudo ufw enable.

Критерии приёмки

1. После sudo ufw reload команда sudo ufw status показывает только IPv4-параметры.
2. Для приложений, ожидающих IPv6, доступность подтверждена (если вы не отключали IPv6 на уровне системы).
3. Логи UFW не содержат ошибок, связанных с обработкой inet6-таблицы.

Рекомендации по безопасной настройке брандмауэра

• Включите профиль по умолчанию: sudo ufw default deny incoming; sudo ufw default allow outgoing.
• Разрешайте только необходимые сервисы: sudo ufw allow from to any port proto tcp.
• Используйте лимитирование для SSH: sudo ufw limit ssh.
• Ведите логирование: sudo ufw logging on.
• Комбинируйте UFW с fail2ban для защиты от брутфорс-атак.

Рольовые чек-листы

Администратор сервера:

• Проверить, нужен ли IPv6 для сервисов.
• Изменить /etc/default/ufw и выполнить ufw reload.
• Тестировать доступность сервисов по IPv4 и IPv6.

Пользователь рабочего места:

• Оставить IPv6 включённым только если требуется корпоративной сетью.
• Сообщить администратору о любых проблемах с доступом после изменений.

Короткое объявление для команды (100–200 слов)

Мы отключаем поддержку правил IPv6 в UFW на настольных и некоторых серверных системах, где IPv6 не используется. Это снизит поверхность атаки и упростит аудит правил брандмауэра. Для этого в конфигурации /etc/default/ufw выставляется IPv6=no и выполняется sudo ufw reload. Обратите внимание: это действие только предотвращает создание правил для IPv6 в UFW; если требуется полное отключение IPv6, нужно изменить параметры sysctl или настройки сетевого менеджера. Перед изменениями проверьте, что ни один сервис не требует IPv6. Администраторы должны протестировать доступность сервисов и логи после применения изменений.

Краткая сводка

• Отключение IPv6 в UFW упрощает правила и может повысить безопасность на системах без IPv6.
• Для полного отключения IPv6 нужно править sysctl или настройки сети.
• Всегда тестируйте доступность сервисов после внесения изменений.

Сводка основных действий:

1. Редактировать /etc/default/ufw: IPv6=no
2. Перезагрузить UFW: sudo ufw reload
3. Проверить: sudo ufw status и ip -6 addr show

Дополнительные вопросы по изменению конфигурации или совместимости с облачными провайдерами обсуждайте с сетевой командой.