Вопросы Теги

Мост с поддержкой IPv6 без адресов IPv6 на интерфейсах

Я сейчас перестраиваю свой IBF (невидимый брандмауэр) как Ubuntu 10.04.2 LTS. Раньше я занимался ipv6, полностью отключив его. На этот раз я хочу оставить его включенным и отфильтровать его с помощью ip6tables и т. Д.

Все мои настройки кажутся прекрасными, за исключением того, что я не могу найти рабочий метод для получения адресов «fe80» с моего моста -INTERFACE-карта. Это может быть понятно для br0, чтобы получить такой адрес, но ни при каких обстоятельствах я бы не хотел, чтобы что-либо говорило на любом слое выше, чем «2», прямо на eth0 или eth1.

До сих пор я пытался:

1) Задание «inet6 manual» записей в «интерфейсах»

2) Указание «inet6 static» и «address ::»

3) sysctl. conf '0' для различных настроек inet6, найденных через Google

4) «post-up echo 0>», как указано выше

Ничто не работает. Если я запустил команду «ip -6 addr del», я могу заставить ее уйти, но это (как вы, вероятно, знаете) не продлится, и она не переживает перезагрузки.

Что Я хочу, это эквивалент адресации ipv4 '0.0.0.0' - нефункциональный, но неконфигурированный адрес.

Идеи?

0
задан 30 May 2011 в 23:25

9 ответов

Я не совсем уверен, что это сработает, но что, если вы сделаете что-то вроде этого: sudo ip6tables -A OUTPUT -t filter -s fe80::8dbd:b9ff:fedb:8db8 -j DROP sudo ip6tables -A INPUT -t filter -d fe80::8dbd:b9ff:fedb:8db8 -j DROP Более строгий, но если он работает, тем лучше в соответствии с вашей философией: sudo ip6tables -A OUTPUT -t filter -s ::/0 -j DROP sudo ip6tables -A INPUT -t filter -d ::/0 -j DROP

Это должно тихо отбросить все, конечный пункт назначения которого является мостом, не отправив ни одного «вашего сообщения», и должен удалить любой трафик с вашего Моста, сгенерированного ОС.

0
ответ дан 26 July 2018 в 17:08
  • 1
    Да, это последняя часть, с которой я пытаюсь работать. Или, как минимум, если у меня обязательно должен быть адрес, я бы хотел, чтобы он не работал. – mcbobbo 27 May 2011 в 03:03
  • 2
    @mcbobbo Хорошо, я нашел это: fedoraforum.org/forum/… Похоже, что часть IPv6-стандарта имеет локальный адрес ссылки, если включен IPv6. – Azendale 27 May 2011 в 04:43
  • 3
    Первоначально, по крайней мере, я собираюсь установить ip6tables -P DROP и '-J DROP'. Но это будет работать только при запуске и настройке netfilter. Это passable безопасность, но не очень хорошая, на мой взгляд. – mcbobbo 27 May 2011 в 18:49
  • 4
    Понимаю. Спасибо за ссылку. Дальнейшее доказательство того, что ipv6 является нелипким, анти-пользовательским протоколом, вам не кажется? – mcbobbo 27 May 2011 в 18:55

Я не совсем уверен, что это сработает, но что, если вы сделаете что-то вроде этого: sudo ip6tables -A OUTPUT -t filter -s fe80::8dbd:b9ff:fedb:8db8 -j DROP sudo ip6tables -A INPUT -t filter -d fe80::8dbd:b9ff:fedb:8db8 -j DROP Более строгий, но если он работает, тем лучше в соответствии с вашей философией: sudo ip6tables -A OUTPUT -t filter -s ::/0 -j DROP sudo ip6tables -A INPUT -t filter -d ::/0 -j DROP

Это должно тихо отбросить все, конечный пункт назначения которого является мостом, не отправив ни одного «вашего сообщения», и должен удалить любой трафик с вашего Моста, сгенерированного ОС.

0
ответ дан 2 August 2018 в 03:26

Я не совсем уверен, что это сработает, но что, если вы сделаете что-то вроде этого: sudo ip6tables -A OUTPUT -t filter -s fe80::8dbd:b9ff:fedb:8db8 -j DROP sudo ip6tables -A INPUT -t filter -d fe80::8dbd:b9ff:fedb:8db8 -j DROP Более строгий, но если он работает, тем лучше в соответствии с вашей философией: sudo ip6tables -A OUTPUT -t filter -s ::/0 -j DROP sudo ip6tables -A INPUT -t filter -d ::/0 -j DROP

Это должно тихо отбросить все, конечный пункт назначения которого является мостом, не отправив ни одного «вашего сообщения», и должен удалить любой трафик с вашего Моста, сгенерированного ОС.

0
ответ дан 4 August 2018 в 19:23

Я не совсем уверен, что это сработает, но что, если вы сделаете что-то вроде этого: sudo ip6tables -A OUTPUT -t filter -s fe80::8dbd:b9ff:fedb:8db8 -j DROP sudo ip6tables -A INPUT -t filter -d fe80::8dbd:b9ff:fedb:8db8 -j DROP Более строгий, но если он работает, тем лучше в соответствии с вашей философией: sudo ip6tables -A OUTPUT -t filter -s ::/0 -j DROP sudo ip6tables -A INPUT -t filter -d ::/0 -j DROP

Это должно тихо отбросить все, конечный пункт назначения которого является мостом, не отправив ни одного «вашего сообщения», и должен удалить любой трафик с вашего Моста, сгенерированного ОС.

0
ответ дан 6 August 2018 в 03:34

Я не совсем уверен, что это сработает, но что, если вы сделаете что-то вроде этого: sudo ip6tables -A OUTPUT -t filter -s fe80 :: 8dbd: b9ff: fedb: 8db8 -j DROP [ ! d0] sudo ip6tables -A INPUT -t filter -d fe80 :: 8dbd: b9ff: fedb: 8db8 -j DROP Более строгий, но если он работает, тем лучше в соответствии с вашей философией: sudo ip6tables -A OUTPUT -t filter -s :: / 0 -j DROP sudo ip6tables -A INPUT -t filter -d :: / 0 -j DROP

Это должно тихо отбросить все, конечным пунктом назначения которого является мост, не отправив «ваше сообщение было отклонено», и должен удалить любой трафик с вашего Моста, созданного ОС.

0
ответ дан 7 August 2018 в 21:23

Я не совсем уверен, что это сработает, но что, если вы сделаете что-то вроде этого: sudo ip6tables -A OUTPUT -t filter -s fe80 :: 8dbd: b9ff: fedb: 8db8 -j DROP [ ! d0] sudo ip6tables -A INPUT -t filter -d fe80 :: 8dbd: b9ff: fedb: 8db8 -j DROP Более строгий, но если он работает, тем лучше в соответствии с вашей философией: sudo ip6tables -A OUTPUT -t filter -s :: / 0 -j DROP sudo ip6tables -A INPUT -t filter -d :: / 0 -j DROP

Это должно тихо отбросить все, конечным пунктом назначения которого является мост, не отправив «ваше сообщение было отклонено», и должен удалить любой трафик с вашего Моста, созданного ОС.

0
ответ дан 10 August 2018 в 09:41

Я не совсем уверен, что это сработает, но что, если вы сделаете что-то вроде этого: sudo ip6tables -A OUTPUT -t filter -s fe80 :: 8dbd: b9ff: fedb: 8db8 -j DROP [ ! d0] sudo ip6tables -A INPUT -t filter -d fe80 :: 8dbd: b9ff: fedb: 8db8 -j DROP Более строгий, но если он работает, тем лучше в соответствии с вашей философией: sudo ip6tables -A OUTPUT -t filter -s :: / 0 -j DROP sudo ip6tables -A INPUT -t filter -d :: / 0 -j DROP

Это должно тихо отбросить все, конечным пунктом назначения которого является мост, не отправив «ваше сообщение было отклонено», и должен удалить любой трафик с вашего Моста, созданного ОС.

0
ответ дан 13 August 2018 в 15:53
  • 1
    Да, это последняя часть, с которой я пытаюсь работать. Или, как минимум, если у меня обязательно должен быть адрес, я бы хотел, чтобы он не работал. – mcbobbo 27 May 2011 в 03:03
  • 2
    @mcbobbo Хорошо, я нашел это: fedoraforum.org/forum/… Похоже, что часть IPv6-стандарта имеет локальный адрес ссылки, если включен IPv6. – Azendale 27 May 2011 в 04:43
  • 3
    Первоначально, по крайней мере, я собираюсь установить ip6tables -P DROP и '-J DROP'. Но это будет работать только при запуске и настройке netfilter. Это passable безопасность, но не очень хорошая, на мой взгляд. – mcbobbo 27 May 2011 в 18:49
  • 4
    Понимаю. Спасибо за ссылку. Дальнейшее доказательство того, что ipv6 является нелипким, анти-пользовательским протоколом, вам не кажется? – mcbobbo 27 May 2011 в 18:55

Я не уверен, что вы устанавливаете в sysctl.conf, но настройки в нем должны автоматически применяться при перезапуске. Вы должны сразу же применить их с помощью sudo sysctl -p Если у вас возникли проблемы с его применением, вам может потребоваться указать интерфейс следующим образом: net.ipv6. conf.eth0 & л;. &-то GT; = 0 вместо net.ipv6.conf.all. & Lt; something & gt; = 0 .

Из того, что я понимаю, если у вас есть IPv6, у вас будет локальный адрес ссылки (но я могу ошибаться).

0
ответ дан 15 August 2018 в 22:43
  • 1
    Да, это последняя часть, с которой я пытаюсь работать. Или, как минимум, если у меня обязательно должен быть адрес, я бы хотел, чтобы он не работал. – mcbobbo 27 May 2011 в 03:03
  • 2
    @mcbobbo Хорошо, я нашел это: fedoraforum.org/forum/… Похоже, что часть IPv6-стандарта имеет локальный адрес ссылки, если включен IPv6. – Azendale 27 May 2011 в 04:43
  • 3
    Понимаю. Спасибо за ссылку. Дальнейшее доказательство того, что ipv6 является нелипким, анти-пользовательским протоколом, вам не кажется? – mcbobbo 27 May 2011 в 18:55

Я не совсем уверен, что это сработает, но что, если вы сделаете что-то вроде этого: sudo ip6tables -A OUTPUT -t filter -s fe80::8dbd:b9ff:fedb:8db8 -j DROP sudo ip6tables -A INPUT -t filter -d fe80::8dbd:b9ff:fedb:8db8 -j DROP Более строгий, но если он работает, тем лучше в соответствии с вашей философией: sudo ip6tables -A OUTPUT -t filter -s ::/0 -j DROP sudo ip6tables -A INPUT -t filter -d ::/0 -j DROP

Это должно тихо отбросить все, конечный пункт назначения которого является мостом, не отправив ни одного «вашего сообщения», и должен удалить любой трафик с вашего Моста, сгенерированного ОС.

0
ответ дан 25 July 2018 в 21:50
  • 1
    Да, это последняя часть, с которой я пытаюсь работать. Или, как минимум, если у меня обязательно должен быть адрес, я бы хотел, чтобы он не работал. – mcbobbo 27 May 2011 в 03:03
  • 2
    @mcbobbo Хорошо, я нашел это: fedoraforum.org/forum/… Похоже, что часть IPv6-стандарта имеет локальный адрес ссылки, если включен IPv6. – Azendale 27 May 2011 в 04:43
  • 3
    Первоначально, по крайней мере, я собираюсь установить ip6tables -P DROP и '-J DROP'. Но это будет работать только при запуске и настройке netfilter. Это passable безопасность, но не очень хорошая, на мой взгляд. – mcbobbo 27 May 2011 в 18:49
  • 4
    Понимаю. Спасибо за ссылку. Дальнейшее доказательство того, что ipv6 является нелипким, анти-пользовательским протоколом, вам не кажется? – mcbobbo 27 May 2011 в 18:55

Другие вопросы по тегам:

Похожие вопросы: