Отключенный ipv6 или нет
Я пытался полностью отключить IPv6 на своей Ubuntu 14.04 согласно этому сообщению, Но netstat шоу это используется. Почему?
~ > sudo sysctl -p|grep ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
~ > cat /proc/sys/net/ipv6/conf/all/disable_ipv6
1
~ > sudo netstat -tpln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 786/rpcbind
tcp 0 0 0.0.0.0:51413 0.0.0.0:* LISTEN 1682/transmission-g
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN 1679/dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1129/sshd
tcp 0 0 0.0.0.0:17500 0.0.0.0:* LISTEN 4601/dropbox
tcp 0 0 127.0.0.1:17600 0.0.0.0:* LISTEN 4601/dropbox
tcp 0 0 0.0.0.0:10050 0.0.0.0:* LISTEN 1278/zabbix_agentd
tcp 0 0 127.0.0.1:17603 0.0.0.0:* LISTEN 4601/dropbox
tcp 0 0 0.0.0.0:44326 0.0.0.0:* LISTEN 4541/skype
tcp 0 0 0.0.0.0:57767 0.0.0.0:* LISTEN 802/rpc.statd
tcp6 0 0 :::111 :::* LISTEN 786/rpcbind
tcp6 0 0 :::51413 :::* LISTEN 1682/transmission-g
tcp6 0 0 :::22 :::* LISTEN 1129/sshd
tcp6 0 0 :::17500 :::* LISTEN 4601/dropbox
tcp6 0 0 :::52253 :::* LISTEN 802/rpc.statd
tcp6 0 0 :::10050 :::* LISTEN 1278/zabbix_agentd
1 ответ
Хорошо - абсолютно НЕ сетевой эксперт и я не заботимся, соглашаетесь ли Вы или даже знаете, причина моего общего количества, полной и абсолютной неприязни к ipv6. Положите, что мои чувства по вопросу не изменятся.
Вот то, как я сбил ipv6 быстрое увеличение в своих сетевых системах рабочая человечность 16.04:
Я не собираюсь описывать свои начальные попытки - такие как игнорирование его на моих сетевых интерфейсах, слабые попытки не принять или передать его с iptables (tho, я действительно изучал ОЧЕНЬ хорошую подсказку относительно ipv6 и iptables). Если Вы уже не сделали тех вещей затем, Вы не должны делать ни одного из моих предложений здесь IMSHO.
URL, которые я нашел полезным (существуют другие, они работали на меня):
- http://www.neuraldump.com/2016/11/how-to-disable-ipv6-in-ubuntu-16-04-xenial-xerus/#comment-22453
- http://mindref.blogspot.com/2010/12/debian-disable-ipv6_22.html
- http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos
Начальная Передача: Отключите это с помощью sysctl директивы в качестве пользовательского корня создает/редактирует (замена / с 'или')/etc/sysctl.d/99-idontlikeipv6.conf добавление следующих строк:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
Сохраните файл, затем перезапускают procps:
sudo service procps reload
Далее вниз спираль... (и почему iptables просто не является enuf),
IPv6 и Слушание Сокета Linux (или как сказать, есть ли у Вас проблема) большинство людей, обеспокоенных безопасностью, как минимум, выполнят какой-то брандмауэр. Я сделал и думал, что iptables был лучшей вещью когда-либо для защиты процесса без большого количества издержек.
Затем я изучил локальные процессы, которые связывают с IPv4 и IPv6, не 'защищаются' или препятствуются получить, трафик IPv6 согласно ЛЮБЫМ iptable директивам, поскольку iptables только влияет/блокирует на трафик IPv4. К брандмауэру трафик IPv6 необходимо установить другой файл правил и загрузить его через ip6tables. Это - файл и команды загрузки, которые я использовал:
(как корень), создают/редактируют/etc/ip6tables.up.rules и добавляют следующее:
*фильтр
ОТБРАСЫВАНИЕ:INPUT [0:0]
ОТБРАСЫВАНИЕ:FORWARD [0:0]
ОТБРАСЫВАНИЕ:OUTPUT [0:0]
ФИКСАЦИЯзагрузите его
ip6tables-восстановление sudo </etc/ip6tables.up.rulesпроверьте, как это смотрит:
netstat-atunp
Это покажет Вам любые процессы, слушающие на Вашей локальной машине - Вы хотите искать tcp6 и udp6 строки. можно отфильтровать вывод netstat к тем строкам с:
netstat -atunp | egrep "tcp6|udp6"
Когда я сделал это, я видел вещи, такие как:
tcp6 0 0 :::10000 :::* LISTEN 2353/perl
tcp6 0 0 :::113 :::* LISTEN 1399/oidentd
tcp6 0 0 :::631 :::* LISTEN 6620/cupsd
tcp6 0 0 :::17500 :::* LISTEN 6834/dropbox
udp6 0 0 :::5353 :::* 7160/chrome
udp6 0 0 :::5353 :::* 1120/avahi-daemon:
udp6 0 0 :::57956 :::* 1120/avahi-daemon:
вместе со все еще другими. Остальная часть этого - то, как я избавился от (некоторых) их:
Взгляд netstat, чтобы видеть, как Вы делаете. У меня все еще было много вещей, прислушивающихся к трафику IPv6. Процессы как кот, apache2, rpcbind, cupsd, хром... список продолжались некоторое время. Отключение их каждый взял немного расследования и работы. Я попытаюсь быть кратким.
- apache2: измените апачский файл ports.conf (мой был в/etc/apache2), добавление IP-адреса после того, как каждый Слушает директива перед каждым портом, ':' разделитель. Например:
Послушайте 127.0.0.1:80
Послушайте 127.0.0.1 443
- tomcat/catalina: Измените файл server.xml под/conf добавление директивы адреса в каждый пункт коннектора, как:
<Коннектор
порт = "6969"
обратитесь = "8.8.8.8"
redirectPort = "8443" - постфикс: измените/etc/postfix/main.cf строку файла для net_protocols для чтения:
net_protocols = ipv4 - bind9/named: найдите Ваш файл конфигурации DNS (могли бы быть несколько, Вы самостоятельно здесь), и добавьте listen-on-v6 {ни один;}; закройтесь к/прежде чем/после того, как, 'слушают - на' директиве. Мой был в/etc/bind/named.conf, некоторые страницы, которые, как сказали, смотрели/добавляли он в файл, названный named.conf.options
- чашки (cupsd, чашки-browserd): отредактируйте/etc/cups/cupsd.conf и измените директиву порта следующим образом (ПРИМЕЧАНИЕ: покупатель остерегается, Вы могли бы наслаждаться тем, какие чашки получает Вас, раз так Вы не захотите к fuk это):
Порт 127.0.0.1:631 - sshd: зависит от ssh установленного сервера. Я натыкался на два различных способа установить это на только перечисленный на адресах ipv4.
- отредактируйте/etc/ssh/sshd_config и имейте только 1 директиву ListenAddress и дайте ему определенный адрес IPv4 'любой порт' 0.0.0.0 значения, как:
# ListenAddress::
ListenAddress 4.4.4.4 - Установите директиву AddressFamily на inet (удостоверьтесь, что только одна директива AddressFamily включена),
# AddressFamily любой
AddressFamily inet
- отредактируйте/etc/ssh/sshd_config и имейте только 1 директиву ListenAddress и дайте ему определенный адрес IPv4 'любой порт' 0.0.0.0 значения, как:
- ntp:/etc/default/ntp редактирования, чтобы иметь NTPD_OPTS запускаются с-4, подобный:
NTPD_OPTS = '-4 г' - rpcbind (rpc.statd, rpc.mountd): прокомментируйте строки, которые запускаются с tcp6 или udp6
- avahi-демон: Я не мог найти причину позволить его, и это произвело чистку очень легко... склонный - получают avahi-демона чистки
- хром - этим управляли через UI - следующий URL был ключевым для nerfing, это - торговля IPv6: https://unix.stackexchange.com/questions/187294/chromium-browser-pepperflashplugin-opening-listening-ports-on-0-0-0-05353
используйте хром, чтобы перейти к URL chrome://flags/#device-discovery-notifications и использовать список выборки для выбора, 'отключают' (или отключенный, не может помнить). Отключение этой так называемой функции "обнаружения устройств" выключает слушание mDNS порта, 5353/tcp. Необходимо повторно запустить Хром / Google Chrome, чтобы заставить это вступить в силу.
Чтобы иметь эти изменения берут перезагрузку влияния Ваша машина. Существуют другие пути, но я слишком чертовски устал для вдаваний в подробности, и перезагрузка или даст Вам машину с сосунками IPv6 и короткими клюшками для гольфа - ИЛИ она даст Вам совершенно новый набор проблем для волнения о.
Примечание: Знание - сила руками это может быть мощное оружие. Вы принимаете на себя всю ответственность за бросок Ваши системы следующим любая из вещей в моем сообщении. njoy
- туалет