Como posso desativar o anúncio de rota do vizinho IPv6 automático em um roteador?

Question

Como posso desativar o anúncio de rota do vizinho IPv6 automático em um roteador?

#1 resposta do (2 votos)
#2 resposta do (2 votos)
#3 resposta do (0 votos)

8

Eu trabalho para um ISP que está no processo de tornar sua infraestrutura pronta para IPv6. Nossos principais roteadores já têm uma configuração funcional, mas uma grande parte de nossos clientes de fibra está atrás de um roteador que executa o Debian Squeeze.

Habilitar recursos de IPv6 no linux não foi um problema, no entanto, uma vez que atribuímos um endereço IPv6 e rotas de trabalho ao roteador linux, ele imediatamente transmitia endereços de trabalho e rotas para todos os sistemas atrás dele, que não era o que nós quer.

Nosso plano atual envolve a configuração manual de endereços IPv6 em todos os sistemas, mas parece que não consigo encontrar a opção ou opção de dizer ao kernel para não executar anúncios de roteador.

Alguma sugestão?

ipv6 debian routing

por Shadur 17.01.2013 / 16:16

3 respostas

Tags ipv6 debian routing

Posso iniciar um processo como root sem iniciar o shell de login do root? Onde colocar scripts que são executados quando o computador é retomado?

score 2 · Answer 1

para desativar a aceitação do RA:

sysctl -w net.ipv6.conf.<interface>.forwarding=0
sysctl -w net.ipv6.conf.all.forwarding=0
sysctl -w net.ipv6.conf.<interface>.accept_ra=0
sysctl -w net.ipv6.conf.all.accept_ra=0

ou adicione algo assim a / etc / network / interfaces

pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/forwarding
pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/all/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/default/accept_ra

score 2 · Answer 2

Quase parece que você está conectando a camada 2 entre as interfaces LAN e WAN. Se for esse o caso, muito tráfego interno do usuário pode acabar na WAN, e todos os anúncios do roteador na WAN (que são destinados ao CPE) são, na verdade, pontes para a LAN.

Se este for o caso, então:

pare de fazer essa ponte, pode facilmente comprometer a segurança do usuário
use ebtables para filtrar entre LAN e WAN

Eu realmente espero estar errado aqui ...

score 0 · Answer 3

O que você provavelmente realmente quer é DHCP-PD (Prefixo Delegação). Com o DHCP-PD, sua configuração de IPv6 será muito mais parecida com a configuração do IPv4.

No IPv4, você usa o DHCP para atribuir um único endereço IPv4 ao cliente e, em seguida, o cliente usa o NAT para distribuir os IPs locais à sua rede (geralmente via DHCP também).

No IPv6, você usa o DHCP-PD para atribuir um / 64 ao cliente e, em seguida, o cliente usa o roteador adv. para atribuir endereços deste / 64 à sua rede interna. Existem scripts para atualizar a configuração do radvd sempre que o / 64 que você atribuir muda.