Come posso disabilitare la pubblicità automatica del percorso vicino IPv6 su un router?


8

Lavoro per un ISP che sta preparando la sua infrastruttura IPv6. I nostri router core hanno già una configurazione funzionante, ma gran parte dei nostri clienti in fibra sono dietro un router che esegue Debian Squeeze.

Abilitare le funzionalità IPv6 su Linux non è stato un problema, tuttavia, una volta assegnato un indirizzo IPv6 e percorsi di lavoro al router linux, ha immediatamente trasmesso indirizzi di lavoro e instradamenti a tutti i sistemi dietro di esso, che tipo di non era quello che vogliamo.

Il nostro piano attuale prevede di impostare manualmente gli indirizzi IPv6 su tutti i sistemi, ma non riesco a trovare lo switch o l'opzione per dire al kernel di non eseguire annunci router.

Eventuali suggerimenti?


1
Sei sicuro di non correre radvd? Linux da solo non dovrebbe originare annunci router.
Celada,

Sì, abbastanza certo: nessuno dei router ha installato il software.
Shadur,

1
Bene, allora è misterioso. Qualcosa sta inviando quelle pubblicità sul router, e sono abbastanza sicuro che non sia il kernel (il kernel accetta le pubblicità del router in modo autonomo senza alcun aiuto dal software userspace, ma non le invia per quanto ne so).
Celada,

Risposte:


2

per disabilitare l'accettazione RA:

sysctl -w net.ipv6.conf.<interface>.forwarding=0
sysctl -w net.ipv6.conf.all.forwarding=0
sysctl -w net.ipv6.conf.<interface>.accept_ra=0
sysctl -w net.ipv6.conf.all.accept_ra=0

o aggiungi qualcosa di simile a / etc / network / interfaces

pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/forwarding
pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/all/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/default/accept_ra

Ne ho ancora bisogno per fare l'inoltro. Ho solo bisogno di smettere di inviare o inoltrare annunci router.
Shadur,

forwarding = 0 non disabilita l'inoltro di pacchetti. purtroppo le impostazioni di ipv6 sono molto contorte
h3rrmiller

questo è per l'accettazione RA tra l'altro. sembra che tu debba disabilitare radvd. dai un'occhiata a /etc/radvd.conf e AdvSendAdvert onpassa AdvSendAdvert offa nell'interfaccia desiderata.
h3rrmiller,

2

Sembra quasi che tu stia collegando il layer 2 tra le interfacce LAN e WAN. In tal caso, gran parte del traffico interno dell'utente potrebbe finire sulla WAN e tutti gli annunci router sulla WAN (che sono pensati per il CPE) sono effettivamente ponti verso la LAN.

In questo caso:

  1. smetti di fare quel ponte, può facilmente compromettere la sicurezza del tuo utente
  2. usa ebtables per filtrare tra LAN e WAN

Spero davvero di sbagliarmi qui ...


Sono abbastanza sicuro di non colmare nulla.
Shadur,

Se non stai collegando, allora qualcosa sul tuo CPE sta inviando quegli annunci router. Il kernel non lo fa. Di solito radvdè lo strumento utilizzato per inviarli, ma forse c'è qualche altro software che lo fa sulla tua scatola.
Sander Steffann,

0

Quello che probabilmente vuoi davvero è DHCP-PD (Delega prefisso). Con DHCP-PD, la configurazione IPv6 assomiglierà molto di più alla configurazione IPv4.

In IPv4, si utilizza DHCP per assegnare un singolo indirizzo IPv4 al cliente, quindi il cliente utilizza NAT per distribuire gli IP locali alla propria rete (di solito anche tramite DHCP).

In IPv6, si utilizza DHCP-PD per assegnare un / 64 al cliente, quindi il cliente utilizza il router avv. per assegnare gli indirizzi da questo / 64 alla sua rete interna. Ci sono degli script in giro per aggiornare la configurazione di radvd ogni volta che il / 64 che assegni cambia.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.