在我的 debian 5.0 服务器上,我设置了一些 iptables 规则,如下所示:
ACCEPT tcp -- eee.fff.ggg.hhh aaa.bbb.ccc.ddd tcp dpt:80
DROP tcp -- 0.0.0.0/0 aaa.bbb.ccc.ddd tcp dpt:80
aaa.bbb.ccc.ddd 是我服务器的 IP 地址,而 eee.fff.ggg.hhh 是另一台服务器,它是唯一允许访问该端口的服务器。我注意到我的服务器上有 inet6 addr 设置,并且 netstat 显示 apache2 正在侦听 tcp6 地址:
tcp6 0 0 :::80 :::* LISTEN
ipv6 地址需要单独的 iptables 规则吗?如果是这样,我该怎么做?我对 ipv6 一无所知。谢谢!我必须这样做吗?如果我不使用 ip6tables,有人会绕过 iptable 规则并通过 ipv6 地址连接到我的 :80 端口吗?
我过去设置了完全与互联网断开连接的小型临时局域网,在为主机分配地址时,我可以选择任何使人与人之间的地址通信尽可能容易(并且尽可能容易记住在你的脑海中) )。毫不奇怪,我的最爱之一是给主机编号,如 10.1.1.1、10.1.1.2、10.1.1.3 等。很容易交流,也很容易记住。(好吧,我几乎可以完全自由地选择地址。我当然不能将 127.0.0.1 用于任何以太网接口,也不能使用任何子网地址或广播地址)
在等待各方(企业、ISP 等)部署 IPv6(从而提供在现实世界中使用 IPv6 的真正动力)时,我有点热衷于小规模(极简?)的尝试,只需通过设置隔离 LAN 重复该任务,但这次依靠 IPv6 在主机之间进行通信。我可以很自由地选择我喜欢的任何 IPv6 地址。几乎,至少。例如,我不能选择 ::1 作为任何 LAN 接口的地址,因为它是用于回送接口的。考虑到为各种用途和目的保留的所有不同范围的 IPv6 地址,我想知道:在这个孤立的 LAN 环境中,选择易于记忆、易于口头交流的 IPv6 地址的最佳方法是什么?(假设是 3 到 32 个主机左右)
我知道这个问题有点学术性,可能不是您在 IPv6 的“真正”部署(无论是商业用途还是业余爱好用途)中会遇到的问题。我仍然对“手工制作”方便的 IPv6 地址的最佳方法感到好奇,所以请不要提供答案,这只会为我提供一个解决方案,该解决方案“使我免于”手动创建这些 IPv6 地址的需要。(或者提供仅解释为什么手动设置这些 IPv6 地址是一种不好的做法的答案......)
一段时间以来,关于 IPv4 即将耗尽而 IPv6 成为救世主的新闻一直在“恐慌”。所有大公司都在准备并展示应该如何做(谷歌、脸书的最后行动)。我确实理解这个问题,我确实认为人们应该慢慢开始行动,但这对小公司来说也是一件大事吗?
我的客户通常是非常小的公司,有 5 到 50 名员工,他们的客户使用 Windows XP/Windows 7,服务器使用 Windows 2003/Windows 2008R2。1 到 5 台交换机并不复杂(有些是托管的,有些是非托管的,但没有什么太复杂的 - Linksys/D-Link)。最重要的是,通常有 ISP 提供的调制解调器和小型home路由器(D-Link、Draytek、Linksys),或者如果客户端稍大一些,例如 FortiGate FW50B。
他们应该如何准备?每个公司都应该做些什么?喜欢买新的路由器?我正在寻找有关如何从客户的角度解决此问题的一般建议。我们是应该先等待 ISP 来找我们,然后再尝试解决问题,还是应该什么都不用担心,只做我们该做的事情而没有什么可做的?
我目前正在评估 Server 2012 在 Linux 和 Windows 工作站和服务器的小型异构网络中充当域控制器,所有这些最终都将加入域。这是一个 100% 双栈网络;每个设备都有 IPv4 和 IPv6 连接。路由器是运行 radvd 1.9.1 和各种其他必需品的 Linux 服务器。
我刚刚安装了第一个域控制器;它的域名是ad.businessname.com(businessname.com由外部 DNS 服务器处理的地方;该域也有公共网站、电子邮件等,这些目前不会加入域)。它是安装了 AD DS 和 DNS 角色的服务器核心。一切似乎都很好,我准备设置第二个 DC 并开始加入计算机,但是...
现在我的网络上有额外的 IPv6 路由器广告,广告Unique Local Addresses。它也是广告的本地IPv6前缀实际路由器是广告。起初我以为这些 RA 来自域控制器,因为当我关闭它时它们消失了,但是在运行 Wireshark 之后我看到它们来自我的实际 IPv6 路由器。Wireshark 表明,此版本的 RA 很快遵循来自 DC 的 fd4a:e7ab:34a5::1 邻居请求。
奇怪的是,当域控制器不在网络上时,路由器也会发送它通常发送的原始路由通告。此版本的 RA 匹配/etc/radvd.conf(副本如下)。与 Wireshark 的快速会话确认路由器广告的两个版本都来自运行的 Linux 路由器的 MAC 地址radvd。
到目前为止,这些似乎无害,因为我的 IPv6 连接没有因额外 RA 的存在而中断。但由于我已经拥有全球 IPv6 连接,因此 ULA 似乎是不必要和不需要的。
我昨晚和今天花了很多时间在互联网上搜索试图弄清楚发生了什么,但除了暗示它 …
domain-name-system active-directory ipv6 radvd windows-server-2012
似乎当 dhclient 在 eth0 上运行时,我从 DHCP 服务器获得了一个 IPv4 地址和一个附加到 eth0 的 Scope:Link IPv6 地址:
inet6 addr: fe80::a00:27ff:fed0:4d41/64 Scope:Link
但是我无法从 dhclient-script 中看到该地址是如何添加的。在另一个具有静态 IP 地址的接口上,我想添加一个链接本地 IPv6 地址,我想知道是否有一个通用命令可以在不知道 mac 的情况下执行此操作。
编辑:
当您执行“ip link set dev ethX up”或“ifconfig ethX up”时,内核似乎会分配链接本地地址。但是,在我的情况下,我将一根电缆插入了 DHCP 的接口,而没有电缆插入我静态设置的接口。直到星期一才能验证,但我猜如果没有链接,内核不会将链接本地地址分配给接口。
我们的 Windows 服务器正在AAAA向我们的 Windows DNS 服务器注册 IPv6记录。但是,我们的网络上没有启用 IPv6 路由,因此这经常导致停顿行为。
Microsoft RDP 是最严重的罪犯。当连接到AAAA在 DNS中有记录的服务器时,远程桌面客户端将首先尝试 IPv6,并且在连接超时之前不会回退到 IPv4。高级用户可以通过直接连接到 IP 地址来解决此问题。使用ping -4 hostname.foo始终可以立即解析 IPv4 地址。
我该怎么做才能避免这种延迟?
此时,我正在考虑编写一个脚本,从我们的 DNS 区域中清除所有 AAAA 记录。请帮我找到更好的方法。
更新: DNS 解析不是问题。正如@joeqwerty …
我已经为 IPv6 和 IPv4 配置了我的邮件服务器,但在大多数情况下它使用 IPv4,而 IPv6 在远程主机上可用。我在 2.9 版中使用 Postfix。所以我的想法是 postfix 使用 IPv6(如果可用)并回退到 IPv4 还是我错了?
我想通过 IPv6 地址访问此地址:http :
//downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/
在我们的 Freifunk 路由器中,没有可用的 DNS,因此downloads.openwrt.org无法解析名称。互联网上的所有服务器只能通过 ipv6 地址访问。现在我们无法从路由器内部访问这个包镜像 t 通过opkg install.
这将是一个解决方案,如果我们可以将其添加到我们的配置中,例如:
http://[2001:db8::1]/attitude_adjustment/12.09/ar71xx/generic/packages/
我们的路由器正在运行 OpenWRT 并且仅支持 IPv6,我想添加一个条目,/etc/hosts以便域名downloads.openwrt.org将解析为适当的 IPv6 地址
是否可以将 IPv6 重定向到域?
我们有一个中等规模的网络,其中包含 IPv4 和 IPv6,我们的上游提供商正在让 IPv6 停用两周,而他们正在做……某事。(这是“实验性的”,我们不为此付费,但多年来它一直很稳定,所以我们全面启用了它。)
我们的网络上有 150 多台主机,至少有十几种不同的操作系统,还有一个用于人们手机和笔记本电脑的无线网络,因此在我们的所有设备上禁用 IPv6 是不可能的。
我想在故障转移到 IPv4 之前避免太多经典的 IPv6 损坏行为和长时间超时,我想知道这样做的最佳方法是什么。
我有一个处理各种客户端的 VPN 服务器;有些只支持 ipv4,有些支持 ipv4 和 ipv6,有些只支持 ipv6。其中一些客户端正在漫游,因此理想情况下,如果可用,它们应该连接到 ipv6,如果不可用,则回退到 ipv4。
在我当前的设置中,OpenVPN 侦听 ipv4 和 ipv6:
proto udp
proto udp6
dev tun
我的第一个问题在这里:虽然这似乎有效,但将两个 proto 放在一个配置文件中是否安全和正确?
我的客户在配置中有两个远程实例:
remote vpn.domain.tld port udp6
remote vpn.domain.tld port udp
我的问题也在这里,因为这似乎有效(首先尝试 udp6,如果失败将回退到 udp),这是一个很好的方法吗?