ipv6 на сервере Ubuntu - как я защищаю?
Пока Вы не закрепляете проблему, запуская скрипт с
nohup scriptname
может помочь. Если это все еще отказывает, исследуйте nohup.out файл.
И если бы ничто упомянутое здесь не помогает, я попытался бы использовать strace/ltrace для наблюдения то, что делал сценарий вызовов системы или библиотеки перед отказом, но они генерируют БОЛЬШОЙ вывод.
У вас все будет хорошо, если вы настроите ip6tables так же, как и iptables. Просто убедитесь с помощью netstat -l , что случайно не заставили службы прослушивать интерфейс IPv6, которые не прослушивают IPv4 и поэтому забыли включить их в настройку ip6tables.
Если вы беспокоитесь Что касается открытых портов, я бы порекомендовал вам запустить nmap с обычными опциями для IPv4 и сравнить это с сканированием nmap IPv6 и убедиться, что оба они дают желаемый результат.
Если у вас нет способа получить общедоступный адрес, IPv6 будет ограничен связыванием локальных адресов. Они ограничены локальной ссылкой и должны быть немного более безопасными, чем частные диапазоны IPv4, которые могут маршрутизироваться внутри сайтов. Эквивалент IPv6 - это локальный адрес сайта, но он устарел.
Межсетевой экран IPv6 с ip6tables , точно так же, как IPv4 с iptables . Брандмауэр Shorewall можно настроить для блокировки IPv6, или его версию Shorewall6 можно использовать для создания брандмауэра IPv6. Для правильной работы IPv6 требуется на несколько типов больше, чем IPv4. shorewall и shorewall6 включает минимальные типы для обоих при использовании с примерными конфигурациями. У вас есть возможность включить дополнительные типы.
IPv6 выполняет автоматическую настройку, поэтому важно ограничить входящий доступ, если есть риск того, что вам может быть назначен публичный адрес. С другой стороны, если расширения конфиденциальности включены, ваш адрес будет меняться каждые несколько часов, поэтому ваш IPv6-адрес будет уязвимым только в течение нескольких часов, прежде чем он будет заменен другим адресом. Люди, имеющие доступ к вашему трафику, по-прежнему смогут идентифицировать попытку вашего адреса для поиска открытых портов. Диапазон адресов IPv6 в любой сети огромен, и сканировать сеть на предмет узлов не очень практично.
поэтому ваш IPv6-адрес будет уязвим только в течение нескольких часов, прежде чем он будет заменен другим адресом. Люди, имеющие доступ к вашему трафику, по-прежнему смогут идентифицировать попытку вашего адреса для поиска открытых портов. Диапазон адресов IPv6 в любой сети огромен, и сканировать сеть на предмет узлов не очень практично. поэтому ваш IPv6-адрес будет уязвим только в течение нескольких часов, прежде чем он будет заменен другим адресом. Люди, имеющие доступ к вашему трафику, по-прежнему смогут идентифицировать попытку вашего адреса для сканирования открытых портов. Диапазон адресов IPv6 в любой сети огромен, и сканировать сеть на предмет хостов не очень практично.Да, есть несколько проблем, о которых следует помнить.
Вам необходимо знать о Проблема безопасности RH0 . Хотя больше нет необходимости использовать явные правила брандмауэра , чтобы смягчить это, поскольку ядра Linux примерно с 2.6.20.9 (в 2007 году!) Всегда игнорируют этот трафик, вы можете столкнуться с более старыми системами, где вам нужно применить правила брандмауэра.
Если у вас есть определенный трафик, ограниченный определенными хостами или подсетями, вам придется написать соответствующие правила брандмауэра IPv6, соответствующие IPv6-адресам этих хостов или подсетей.
Вы не должны блокировать ICMP на IPv6; поскольку он в большей степени зависит от ICMP, соединения могут прерываться таинственным образом, если вы выполните какую-либо блокировку ICMP.