Triviálisnak tűnik, de nagy az esélye, hogy valamire nem gondoltam:
Ha privát IPV4 tartományt használok kizárólag pár saját szerver között és kizárólag saját virtuális szerverek között, például 10.x.x.x/8 címeket, van értelme az IPV6-ot bekapcsolni, vagy automatán hagyni a CentOS 7 Network Manager használatával? Ha beállítok magánhálózati IP címeket, alapból bekapcsolja hozzá az IPV6-ot is.
Jól gondolom, hogy kikapcsolhatom az összes IPV6-os dolgot a privát IP-k irányában (IPV6 route, stb), ha én a szerverekre csak IPV4-es címek alapján hivatkozok, úgy állítom be a tűzfal szabályokat, stb?
Vagy hagyjam bekapcsolva az IPV6-ot, hagyjam automatikus beállításon és indítsak IPV6-ot is valamiért?
Van bármi előnye IPV6-ot használni a 16777216 IP cím szűkösségén kívül, a saját szerverek között?
(Most 11 millió szerverem van, de tudom, hogy nem lesz több, mint 12 millió... :-)
- 5070 megtekintés
Hozzászólások
Nyilván csak akkor van értelme bekapcsolni ha ipv6-on akarsz kommunikálni.
- A hozzászóláshoz be kell jelentkezni
Én nem akarok IPV6-on kommunikálni, mert nem látom az előnyét, hogy miért bonyolítsam.
Sakk-matt,
KaTT :)
- A hozzászóláshoz be kell jelentkezni
Előnye az lehet, hogy megtanulod.
- A hozzászóláshoz be kell jelentkezni
Ha nem kell, kapcsold ki. (De minimum egy ip6tables mindentilt szabályt).
Előnye annyi lehet, hogy ha kintről kell elérni, más cuccokkal kell beszéljenek (később mikor már lesz rendesen ipv6 mindenhol), akkor kevesebbet kell bűvészkedni, mert nem lesz ütközés.
- A hozzászóláshoz be kell jelentkezni
Kapcsold ki, és ip6tables-el tilts minden bejövő-kimenő ipv6 forgalmat. Loopback maradhat. :) Komoly biztonsági kockázat az ipv6, amire sokan nem is gondolnak: alapból fut, és a tűzfalon nem tiltják.
- A hozzászóláshoz be kell jelentkezni
+1
Én már bootolásnál kikapcsolom egy "ipv6.disable=1" kernel paraméterrel (persze idézőjelek nélkül).
- A hozzászóláshoz be kell jelentkezni
javítsatok ki ha tévedek, de link-local addressek esetén milyen biztonsági problémát jelenthet az ipv6? jó nyilván ha vmi szolgáltatói switchben van a gép vége, akkor lehet hogy kikcsapolnám, de egyébként saját infrastruktúrán nem sok vizet zavar szerintem
--
>'The time has come,' the Walrus said<
- A hozzászóláshoz be kell jelentkezni
pl kikerüli az összes tűzfal szabályod? ráadásul elég tipikus scenario hogy lesz ott nem link local is, amit valaki elkezd címeet osztogatni...
- A hozzászóláshoz be kell jelentkezni
Ez kb, mintha kikapcsolnád a szervereiden a tűzfalat a lan felé. Ugyan meg lehetne csinálni, de én jobb szeretek nyugodtan aludni, ergo ami nem szükséges, az tiltva van.
- A hozzászóláshoz be kell jelentkezni
Local subneten jön vmi vicces idióta, és crashelteti az egész LAN-t:
- A hozzászóláshoz be kell jelentkezni
Jól gondolom, hogy ez sem árthat az SSH-nél?
AddressFamily inet
itt: /etc/ssh/sshd_config
"inet6" lenne az IPV6 és "any" pedig a default.
Sakk-matt,
KaTT :)
- A hozzászóláshoz be kell jelentkezni
ip6tables -P INPUT -j DROP
Van ennél megfelelőbb beállítás az ipv6 tiltásra?
Sakk-matt,
KaTT :)
- A hozzászóláshoz be kell jelentkezni
ja, ugyanez az outputra meg a forwardra is.
- A hozzászóláshoz be kell jelentkezni
+1
"*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT"
- A hozzászóláshoz be kell jelentkezni
Tehát akkor belerakom a
/etc/sysconfig/ip6tables
fájlba amit írtál a jelenlegi, eredeti helyett, és akkor nem kell CLI-ből egyenként beállítani:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited
COMMIT
Azért tetszik ez a fájl 3 sora... :-)
# please do not ask us to add additional ports/services to this default configuration
Sakk-matt,
KaTT :)
- A hozzászóláshoz be kell jelentkezni