比较来自世界各地的卖家的域名和 IT 服务价格

ipv6 远程机器上的几个地址和防火墙

我有一个服务器 ubuntu (serverA) 使用一对地址 IPv6. 其中一个是基于其MAC地址,在网络中是已知的,另一个人认为 ubuntu 创建为隐藏MAC地址的“私有”地址。

我有另一台服务器 (serverB), 托管数据库,并需要传入连接 serverA. serverB 有一个防火墙,只允许来自的传入连接 serverA. 我指定了IP地址 serverA 基于 MAC 在防火墙的例外 serverB, 但是,不知道私人地址,没有添加它。 但是,包装商S. serverA, 似乎默认情况下来自私人地址。

私人地址是否确定? 我怎么能禁用它? 我应该关闭它吗?
已邀请:

卫东

赞同来自:

隐私地址必须随机且通常更改。 它不应该是决定性的; 这将与概念相矛盾。 它应该用于传出化合物。

我不建议关闭它,因为它是有用的,以便不透露您的MAC地址 SLAAC (从中获得的地址的正确术语 MAC). 但是,有些人重视确定稍后建立连接的主机的能力,更愿意禁用它。

如果您需要使用 ACL 基于 IP, 你必须关闭它。 你可以通过添加来做

ip6-privacy=0

在部分 ipv6

/etc/NetworkManager/system/connections/

. 你也可以检查

/etc/sysctl.d/10-ipv6-privacy.conf

如果这没有换算。

涵秋

赞同来自:

我将专注于您的最后一个问题:

它值得脱离私人地址吗?

我同意 @Falcon, 什么 Privacy Extensions, 多么肯定
http://tools.ietf.org/html/rfc4941
有用。 我将始终在客户身上留下它们 / 可以在互联网上连接服务的工作站,我希望手机制造商在所有设备上默认将其默认将其包含在内。

但在你的配置中,你谈论两个服务器,其中一个服务器 (不仅,我想) 充当另一台服务器的客户端。 第一个问题:你的安装是什么? 这些服务器是否在您的公司网络中? 他们有什么外部访问? 将

serverA

永远连接到互联网 (没有代理)? 如果所有流量都是内部的,并且您没有看到攻击者的威胁,它显示内部网络的流量模板,只需禁用服务器上的隐私扩展。 根据定义服务器应该至少有一个地址,其客户所熟知,主要是通过 DNS, 因此,攻击者可以使用此地址攻击服务器。 隐藏您的地址不是服务器攻击的可接受的保护策略。 (当然,将负载均衡器放在其地址。)



http://jitc.fhu.disa.mil/apl/i ... 0.pdf
(对不起,我找不到较新版本的链接 5.0) 还需要对主机的隐私扩展 / 工作站,“这将在需要扩展隐私地址或保存匿名的网络上的网络上工作,”并强烈推荐它们用于其他主机 / 工作站。 . 此要求涉及服务器

要是

他们也充当了客户 (如何配置)



有必要保持匿名性 (你决定). 因此,常规服务器不需要激活隐私扩展。

关于 ACL: 如果是刚性编程的地址 IPv6 必须在几个地方使用,我甚至想想确定固定地址 IPv6 在您的服务器上。 您可以在服务器上安装它们 DNS 或分发它们 DHCPv6, 但与地址相比,您将少工作。 SLAAC, 如果您必须更换网络适配器或服务器。

简单地说:

如果您的服务器仅在内部交换数据并没有向流量分析进行额外的安全要求,则应禁用隐私扩展。 在任何其他情况下,您必须平衡您的利弊。

HTH.

要回复问题请先登录注册