如何从 Linux禁用IPv4堆栈?我想动态地做到这一点,即有时我想要启用它,有时我只想要IPv6堆栈。有没有便携的方法来做到这一点?如果你知道如何在任何发行版中做到这一点,它也会对我有很大帮助。
我在 CentOS 7 服务器上让 TPROXY 与 Squid 和 IPv6 一起工作时遇到问题。我以前使用 NAT 的通用拦截设置,但它仅限于 IPv4。我现在正在扩展设置以包含带有 TPROXY 的 IPv6。
我一直在使用有关该主题的官方 Squid wiki 文章来配置所有内容:
http://wiki.squid-cache.org/Features/Tproxy4
到目前为止,TPROXY 配置似乎适用于 IPv4,没有任何问题。然而,使用 IPv6 时,连接超时且无法正常工作。我将分解设置以便更好地理解。
请注意,所有防火墙和路由规则对于 IPv4 完全相同,唯一的区别是inet6和ip6tables用于在下面的示例中配置基于 IPv6 的规则。
IPv6 连接目前是通过 Hurricane Electric 的 6in4 隧道,这是在 DD-WRT 路由器上配置的,然后分配的前缀通过radvd. Squid 框配置了多个静态 IPv6 地址。
Squid 盒位于它所服务的主 LAN 中。端口 80 上的流量被拦截的客户端(主要是无线客户端)通过我的 DD-WRT 路由器被推送到 Squid 框,并使用以下防火墙和路由规则,改编自 Policy Routing wiki 文章和 DD-WRT wiki
在撰写本文时,IPv4 Depletion Site估计距离所有 IPv4 地址分配还剩 300 天。一段时间以来,我一直在关注 IPv4 地址的枯竭,并意识到“危机”已经持续多年,而且 IPv4 地址的持续时间比预期的要长,但是……
作为一家小型 SaaS / 网站托管公司的系统管理员,我应该采取哪些步骤来准备 IPv6?我们在远程数据中心的托管硬件上运行少量 CentOS 和 Ubuntu Linux 系统。我们所有的服务器都有 IPv6 地址,但它们似乎是链接本地地址。
我们的主要业务功能是在专有网站 CMS 系统上托管网站。我担心的问题之一是 SSL 证书;目前,每个拥有 SSL 证书的客户都会获得一个专用的 IPv4 IP 地址。我还应该担心什么/我应该采取什么行动来为 IPv4 耗尽做好准备?
IPv6 和RFC 2462为主机提供了一种通过无状态地址自动配置来配置自己的 IP 地址的方法。对我来说,这就像蜜蜂的膝盖,它让我想知道为什么有人想要通过配置 DHCPv6 服务器的麻烦来代替。我不把网络作为一种职业来管理,所以我猜有一些显而易见的简单原因为什么人们想要支持 DHCPv6,但我没有想到。有人可以详细说明这些原因可能是什么吗?
我知道有一个名为的参数ip可让您通过引导加载程序在 Linux 内核上配置 IPv4 地址。如下所示:
ip=192.0.2.1::192.0.2.62:255.255.255.192::eth0:none
我正在为 IPv6 配置寻找一个相等的参数。我在内核文档中找不到任何关于此的信息。
更新:因为很多人问我为什么需要这个:使用内核配置的想法与这个问题有关。我怀疑常规的启动界面配置没有完成,因为接口已经启动了。这样做的原因可能是我正在使用带有 Dropbear SSH 服务器的预引导环境来解锁我的加密根分区。此环境的 IP 地址是通过 GRUB 使用ip=参数配置的。该以太网段上没有可用的 DHCP 或路由器广告,而且由于这是大型托管公司提供的上行链路段,因此无法改变这一事实。
设置访问控制列表时,0.0.0.0/0和之间有什么区别::/0?
我看到这个是我正在设置的 AWS EC2 实例
我们尝试在新的 Windows Server 2008 R2 机器上安装 3rd 方软件产品,发现除了通过环回地址(如localhost或 计算机名称)访问本地服务(例如:VPS-Web解析为localhost)之外,一切正常。我们不使用 IPv6,并希望在软件兼容之前禁用它。
我尝试使用这些说明在 Windows 2008 R2 上禁用 IPv6,但它没有禁用localhost. Pinging localhostorVPS-Web仍然会返回::1:而不是127.0.0.1. 我可以ping localhost -4用来获取正确的地址,但 IPv6 优先于 IPv4,因此第 3 方软件只能获取 IPv6 地址。
在我们公司,我们有一系列 /21 (2048) IPv4 公共地址。
我们有一堆 Cisco 路由器和服务器。
如何开始使用 IPv6?我们可以做些什么来为我们的客户提供 IPv6 补充的互联网?
我目前习惯于使用像fail2ban这样的工具通过禁止IPv4地址来阻止不需要的流量远离我的服务器:每个IP有太多坏日志条目,禁止IP。
然而,当世界完成向 IPv6 的迁移时,禁止单个地址可能不再起作用,因为“普通”僵尸网络计算机或攻击者拥有相当多的 IPv6 地址?
如果我想阻止 IPv6 用户,那么最好的方法是什么?使用某个 IP 掩码还是其他什么?
当您在 IPv6 中获得多个单独的点击然后禁止整个块时,如何进行“升级启发式”?
对我来说,减轻威胁更为重要。如果一些可怜的真正用户与被阻止的 IP 属于同一个块,那么这些人和他们的 ISP 之间的问题是清除该网络块。
假设您已经在其中一个 Linux 系统上配置了 IPv6 代理 NDP,如下所示:
ip -6 neighbor add proxy 2001:db8:1234::5 dev eth1
您如何验证配置是否生效?ip -6 neighbor show似乎不显示代理条目,ip -6 neighbor show proxy也不是受支持的命令。