Observação: essa pergunta ainda não foi resolvida. A resposta foi aceita automaticamente.
Eu tenho um Debian Lenny VPS, que é virtualizado pela Parallels / Virtuozzo. Atualmente, a interface de rede não tem um endereço IPv6 - e isso é bom, porque não tenho uma configuração ip6tables .
Mas eu suponho que eu poderia acordar um dia, e se o ifconfig me mostrar um endereço ipv6 para a interface - porque eu não tenho controle sobre o kernel ou seus módulos - eles estão sob o controle da empresa de hospedagem. Isso deixaria o servidor completamente vulnerável a ataques de endereços IPv6.
Qual seria a melhor maneira de desativar o IPv6 (para a interface ou talvez para todo o host)? Normalmente eu simplesmente desabilitaria o módulo do kernel, mas isso não é possível neste caso.
Talvez eu deva acrescentar, que eu posso usar iptables e tudo normalmente (eu sou root no VPS), mas eu não posso fazer alterações no kernel ou carregar módulos do kernel por causa da maneira Virtuozzo funciona (kernel compartilhado).
lsmod sempre não retorna nada.
Eu não posso chamar ip6tables -L (ele diz que preciso insmod, ou que o kernel teria que ser atualizado).
Eu não acho que as alterações em /etc/modprobe.d/aliases teriam algum efeito ou não?
Eu pensei, que talvez eu possa desligar o IPv6 de / etc / network / ... Isso é possível?
A melhor solução é configurar uma configuração do iptables que cubra a v6.
Se isso não acontecer, a maioria dos daemons permitirá que você especifique os endereços de interfaces a serem vinculados, com o padrão de todos. Explicitamente, liste os endereços v4 desejados e, em seguida, eles não deixarão portas abertas nos endereços da v6, caso você obtenha mais tarde. Conexões de saída ainda prefeririam endereços v6.
Existe uma maneira bastante simples de não estar vulnerável a ataques ao IPv6.
Não tenha serviços de escuta que não estejam abertos ao mundo. No mínimo, simplesmente forçar os serviços a se vincularem a um endereço IPv4 específico deve garantir que eles não estejam ouvindo no IPv6. netstat -tupl pode ajudar com isso.
Os firewalls devem existir por dois motivos: * Protegendo serviços com acesso limitado ao mundo (os TCP wrappers também ajudam aqui) * Protegendo você de seus próprios erros
Eu acredito que atualmente a melhor maneira de desabilitar o IPv6 no Debian Lenny é criar um arquivo em /etc/modprobe.d denominado ipv6.conf com blacklist ipv6 , então executar depmod -ae como root, seguido por update-initramfs -u . / p>
Há um artigo sobre isso no wiki debian.org aqui: link
Boa sorte!
- jed
Indo em um membro aqui, mas o provedor host não comunicaria nenhuma mudança potencial do kernel como esta para seus clientes? Você já experimentou alguma coisa (atualização do kernel, etc.) que o levaria a acreditar que isso aconteceria sem aviso prévio? Além disso, eles estão roteando o tráfego IPv6 para / de sua rede? Pode ser melhor apenas expressar sua preocupação em apoiar e ir de lá.
Eu não posso testá-lo no debian agora, mas no Redhat você pode modificar o arquivo / etc / sysconfig / network e adicionar "NETWORKING_IPV6 = no"
Não tenho certeza se isso ajudará, mas o OpenVZ (código-fonte aberto do Virtuozzo) parece não oferecer suporte ao IPv6.
O bloqueio de tudo em ip6tables não resolveria seu problema? Ele também permite que você implemente iptables ipv6 sempre que quiser, sem ter que habilitar o ipv6 novamente.
Outra opção é configurar algumas configurações IPv6 totalmente falsas, então, mesmo que o provedor o habilite, ele não funcionará nesse sistema (sim, é super divertido, mas funcionaria para evitar que alguém fizesse qualquer coisa com o IPv6 no seu sistema).
Boa sorte,
- jed
ip route del :: / 0
retire a rota padrão que efetivamente interromperá a conectividade IPv6.