ルーターで自動IPv6ネイバールートアドバタイズを無効にするにはどうすればよいですか?
私は、インフラストラクチャをIPv6対応にするプロセスにあるISPで働いています。私たちのコアルーターはすでに機能している設定ですが、ファイバーのお客様の大部分はDebian Squeezeを実行しているルーターの背後にいます。
LinuxでIPv6機能を有効にすることは問題ではありませんでしたが、IPv6アドレスと作業ルートをLinuxルーターに割り当てると、すぐに作業アドレスとルートをその背後にあるすべてのシステムに送信しました。
現在の計画では、すべてのシステムでIPv6アドレスを手動で設定する必要がありますが、ルーターアドバタイズメントを実行しないようにカーネルに指示するスイッチまたはオプションを見つけることができません。
助言がありますか?
rAの受け入れを無効にするには:
sysctl -w net.ipv6.conf.<interface>.forwarding=0
sysctl -w net.ipv6.conf.all.forwarding=0
sysctl -w net.ipv6.conf.<interface>.accept_ra=0
sysctl -w net.ipv6.conf.all.accept_ra=0
または/ etc/network/interfacesにこのようなものを追加します
pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/forwarding
pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/all/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/default/accept_ra
レイヤー2をLANとWAN=インターフェースの間でブリッジしているように見えます。その場合、ユーザーの内部トラフィックの多くがWANに到達し、すべてのルーターアドバタイズがWAN(CPE向け))は、実際にはLANへのブリッジです。
この場合、次のようになります。
- そのブリッジをやめると、ユーザーのセキュリティを簡単に侵害する可能性があります
- ebtablesを使用してLANとWANの間でフィルタリングする
私はここで間違っていると本当に思います...
あなたがおそらく本当に望んでいるのはDHCP-PD(Prefix Delegation)です。 DHCP-PDを使用すると、IPv6のセットアップはIPv4のセットアップによく似たものになります。
IPv4では、DHCPを使用して単一のIPv4アドレスを顧客に割り当て、次に顧客はNATを使用してローカルIPをネットワークに(通常はDHCP経由でも)配布します)。
IPv6では、DHCP-PDを使用して/ 64を顧客に割り当て、次に顧客はルーターadvを使用します。この/ 64からその内部ネットワークにアドレスを割り当てる。割り当てた/ 64が変更されるたびにradvd構成を更新するスクリプトがあります。