在Debian VPS(Virtuozzo!)上禁用IPv6

注:这个问题还没有解决 – 答案是自动接受的。

我有一个Debian Lenny VPS,正在运行由Parallels / Virtuozzo虚拟化。 目前,networking接口没有IPv6地址 – 这很好,因为我没有ip6tablesconfiguration。

但是我认为,有一天我会醒来,ifconfig会向我显示接口的ipv6地址 – 因为我无法控制内核或其模块 – 它们在托pipe公司的控制之下。 这将使服务器完全容易受到IPv6地址的攻击。

什么是禁用IPv6(对于接口或者对于整个主机)的最佳方式? 通常我会简单地禁用内核模块,但是在这种情况下这是不可能的。

更新

也许我应该补充说,我可以正常使用iptables和所有东西(我是VPS的根),但是由于Virtuozzo的工作方式 (共享内核),我不能修改内核或加载内核模块

lsmod总是不返回任何内容。

我不能调用ip6tables -L (它说我需要insmod,或内核将不得不升级)。

我不认为,对/etc/modprobe.d/aliases更改会有什么影响,还是它们呢?

networkingconfiguration?

我想,也许我可以从/ etc / network /closuresIPv6 …这可能吗?

我只在Ubuntu上testing过,但你可以试试以下内容:

 echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6 

如果这似乎起作用,可以通过将以下内容添加到/etc/sysctl.conf来使其永久/etc/sysctl.conf

 net.ipv6.conf.all.disable_ipv6=1 

最好的解决scheme是build立一个涵盖v6的iptablesconfiguration。

否则,大多数守护进程将让您指定要绑定的接口地址,默认为全部。 显式列出你想要的v4地址,然后他们将不会离开v6地址的开放端口,如果你以后得到任何。 不过,传出的连接仍然会优先使用v6地址。

有一个相当简单的方法,不容易受到IPv6的攻击。

没有听到不应该向世界开放的服务。 至less简单地强制服务绑定到一个特定的IPv4地址应该确保他们没有监听IPv6。 netstat -tupl可以帮助这个。

防火墙应该存在的原因有两个:*保护有限的访问服务(TCP包装也有帮助)*保护你免受自己的错误

我相信目前在Debian Lenny中禁用IPv6的最好方法是在/etc/modprobe.d创build一个名为ipv6.conf的文件, ipv6.conf包含blacklist ipv6 ,然后以root身份运行depmod -ae ,接着运行update-initramfs -u

这里有关于debian.org维基的一篇文章: http ://wiki.debian.org/KernelModuleBlacklisting

祝你好运!

–jed

在这里走出去,但主机提供商不会将这种潜在的内核变化传达给客户吗? 你有没有经历过任何事情(内核升级等),导致你相信这会发生,没有预先通知? 另外,他们甚至将IPv6stream量路由到他们的networking? 可能最好只是expression你的关心支持,并从那里去。

我现在无法在debian上testing它,但是在Redhat上,你可以修改/ etc / sysconfig / network文件并添加“NETWORKING_IPV6 = no”

不知道这是否会有所帮助,但OpenVZ (Virtuozzo开源)似乎不支持IPv6。

不会阻止ip6tables中的一切解决你的问题? 它也允许你实现ipv6 iptables,只要你想,而不必再启用ipv6。

另一个select是configuration一些完全虚假的IPv6设置,所以即使提供程序启用它,它也不会在这个系统上工作(是的,它是超级的,但它会阻止任何人对IPv6做任何事情你的系统)。

祝你好运,

–jed

ip route del :: / 0

拿走有效破坏IPv6连接的默认路由。