VLAN 세트에 연결된 가상 Xen 호스트가 있습니다. Dom0에서는 DomU에 연결하기 위해 VLAN별로 브리지를 설정했습니다. 네트워크 브리지는 /etc/network/interfaces에 다음과 같이 설정됩니다.
auto eth0
iface eth0 inet manual
auto eth0.1
iface eth0.1 inet manual
vlan_raw_device eth0
auto br1
iface br1 inet manual
bridge_ports eth0.1
이러한 인터페이스 대부분의 경우 Dom0에 액세스할 수 있기를 원하지 않고 브리지만 사용하기를 원합니다.
그러나 IPv6를 사용하면 각 인터페이스가 fe80::/64 네트워크에서 링크 로컬 주소를 자동으로 가져오므로 모든 인터페이스/VLAN에서 Dom0을 사용할 수 있게 되므로 보안이 효과적으로 손상됩니다.
iptables를 사용하여 들어오는 모든 패킷을 차단할 수 있다고 가정하지만 IPv6 주소를 완전히 피하는 것이 더 깔끔한 솔루션처럼 보입니다.
IP 계층이 아닌 링크 계층에 인터페이스를 만드는 방법이 있나요?
이것은 linux/debian입니다. (처음에 이 세부 사항을 놓쳐서 죄송합니다...)
(master) 844$ cat /etc/issue.net
Debian GNU/Linux 5.0
(master) 845$ uname -a
Linux master 2.6.26-2-xen-amd64 #1 SMP Sun Jun 20 20:51:58 UTC 2010 x86_64 GNU/Linux
답변1
Debian 변형과 최소한 Linux를 실행 중인 것 같습니다. /etc/sysctl.d인터페이스 또는 모든 인터페이스에서 IPv6을 비활성화하는 파일을 넣을 수 있습니다 . IPv6를 활성화했지만 이는 IPv6를 비활성화하는 데 사용하는 파일입니다. 처음에는 모든 것을 비활성화한 다음 IPv6가 활성화되면 개별 인터페이스를 비활성화했습니다. 브리지를 비활성화할 수 있어야 합니다.
#80-비활성화-ipv6.conf #net.ipv6.conf.default.disable_ipv6 = 0 #net.ipv6.conf.all.disable_ipv6 = 0 #net.ipv6.conf.lo.disable_ipv6 = 0 #net.ipv6.conf.eth0.disable_ipv6 = 0 #net.ipv6.conf.virbr0.disable_ipv6 = 0 #net.ipv6.conf.virbr1.disable_ipv6 = 0