Ponte ativada para IPv6 sem endereços IPv6 nas interfaces

Navegue suas respostas
0

Estou no processo de reconstrução do meu IBF (firewall de pontes invisíveis) como o Ubuntu 10.04.2 LTS. No passado, lidei com o ipv6, desabilitando-o completamente. Desta vez eu quero deixá-lo ativado e filtrá-lo com ip6tables, etc.

Toda a minha configuração parece boa, exceto que não consigo descobrir um método de trabalho para obter os endereços 'fe80' dos meus cartões de interface de bridge. Pode ser compreensível para a br0 obter tal endereço, mas sob nenhuma circunstância eu quero que qualquer coisa falando em qualquer camada maior que '2' diretamente para eth0 ou eth1.

As coisas que tentei até agora incluem:

1) Especificando entradas 'manual inet6' em 'interfaces'

2) Especificando 'inet6 static' e 'address ::'

3) sysctl.conf '0' para várias configurações inet6 encontradas via Google

4) 'eco post-up 0 >' como acima

Nada parece funcionar. Se eu executar um comando 'ip -6 addr del', posso fazer com que ele desapareça, mas isso (como você provavelmente sabe) não dura e não sobrevive a uma reinicialização.

O que eu quero é o equivalente ao endereçamento '0.0.0.0' do ipv4 - um endereço não funcional, mas não desconfigurado.

Idéias?

    
por mcbobbo 26.05.2011 / 20:54

2 respostas

0

Não tenho certeza do que você está configurando no sysctl.conf, mas as configurações devem ser aplicadas automaticamente quando você reiniciar. Você deve poder aplicá-las imediatamente com algo como sudo sysctl -p Se você está tendo problemas para não se inscrever, você pode precisar especificar a interface assim: net.ipv6.conf.eth0.<something> = 0 em vez de net.ipv6.conf.all.<something> = 0 .

Pelo que entendi, se você tiver IPv6 em você terá um endereço local de link (mas eu posso estar errado).

    
por Azendale 26.05.2011 / 23:47
0

Não tenho certeza se isso funcionará, mas e se você fizer algo assim:
sudo ip6tables -A OUTPUT -t filter -s fe80::8dbd:b9ff:fedb:8db8 -j DROP
sudo ip6tables -A INPUT -t filter -d fe80::8dbd:b9ff:fedb:8db8 -j DROP
Mais rigoroso, mas se funcionar, melhor ainda de acordo com sua filosofia:
sudo ip6tables -A OUTPUT -t filter -s ::/0 -j DROP
sudo ip6tables -A INPUT -t filter -d ::/0 -j DROP

Isso deve deixar silenciosamente qualquer coisa cujo destino final seja a ponte sem enviar nenhuma mensagem 'sua mensagem foi rejeitada e deve eliminar o tráfego da sua Bridge gerada pelo SO.

    
por Azendale 27.05.2011 / 02:35
Adicionando código ao .gtkrc-2.0? Como fazer meu próprio disco do Ubuntu?