Comparez les prix des domaines et des services informatiques des vendeurs du monde entier

ipv6 Plusieurs adresses et pare-feu sur une machine distante

J'ai un serveur ubuntu (serverA) avec une paire d'adresses IPv6. L'un d'entre eux est basé sur son adresse MAC et est connu dans le réseau, et l'autre, je suppose ubuntu Créé comme une adresse "privée" qui masque l'adresse MAC.

J'ai un autre serveur (serverB), qui héberge la base de données et nécessite une connexion entrante à serverA. serverB a un pare-feu ne permettant que des connexions entrantes de serverA. J'ai spécifié l'adresse IP serverA basé MAC Dans les exceptions du pare-feu serverB, Mais ne sachant pas l'adresse privée, ne l'a pas ajouté. Cependant, les emballeurs S. serverA, Il semble que par défaut vient d'une adresse privée.

L'adresse privée est-elle déterminée? Comment puis-je le désactiver? Dois-je éteindre?
Invité:

Blanche

Confirmation de:

L'adresse de confidentialité doit être aléatoire et change souvent. Il ne devrait pas être déterministe; Cela contredit le concept. Il devrait être utilisé pour les composés sortants.

Je ne recommande pas de le désactiver, car il est utile de ne pas divulguer votre adresse MAC, comme il le fait SLAAC (Le terme correct pour l'adresse obtenue de MAC). Cependant, certaines personnes qui valorisent la possibilité de déterminer quel hôte a ensuite établi la connexion, préfère le désactiver.

Si vous avez besoin d'utiliser ACL basé IP, Vous devrez l'éteindre. Vous pouvez le faire en ajoutant

ip6-privacy=0

Dans la section ipv6

/etc/NetworkManager/system/connections/

. Vous pouvez également vérifier

/etc/sysctl.d/10-ipv6-privacy.conf

Si cela ne met pas cette fin.

Dominique

Confirmation de:

Je me concentrerai sur votre dernière question:

Est-ce que cela vaut la peine de déconnecter des adresses privées?

je suis d'accord avec @Falcon, Quel Privacy Extensions, Comme défini dans
http://tools.ietf.org/html/rfc4941
Utile. Je les inclure toujours sur les clients / Des postes de travail pouvant être connectés aux services sur Internet et j'espère que les fabricants de téléphones mobiles les incluront bientôt par défaut sur tous leurs appareils.

Mais dans votre configuration, vous parlez de deux serveurs, où l'un d'entre eux (Non seulement, je suppose) agit en tant que client pour un autre serveur. Premières questions: Quelle est votre installation? Ces serveurs sont-ils dans le réseau de votre entreprise? Quel accès externe ont-ils? Sera

serverA

jamais connecté à Internet (sans proxy)? Si tout le trafic est interne et que vous ne voyez pas la menace d'un attaquant, qui affiche les modèles de trafic de votre réseau interne, désactivez simplement les extensions de confidentialité sur les serveurs. Le serveur par définition doit avoir au moins une adresse, bien connue de ses clients, principalement à travers DNS, Afin que l'attaquant puisse utiliser cette adresse pour attaquer le serveur. Cacher votre adresse n'est pas une stratégie de protection acceptable pour les attaques de serveur. (Bien sûr, le placement des équilibreurs de charge avec son adresse.)

DANS

http://jitc.fhu.disa.mil/apl/i ... 0.pdf
(Désolé, je n'ai pas pu trouver un lien vers la version du plus récent 5.0) nécessite également une expansion de la confidentialité des hôtes / Postes de travail, "qui travaillera sur des réseaux nécessitant une expansion d'adresses de confidentialité ou autrement nécessaires dans la préservation de l'anonymat" et les recommander vivement à d'autres hôtes / Postes de travail. . Cette exigence concerne les serveurs

si seulement

Ils agissent également en tant que clients (comment dans votre configuration)

et

Il est nécessaire de maintenir l'anonymat (tu décides). Ainsi, le serveur général n'exige pas l'activation des extensions de confidentialité.

Concernant ACL: Si des adresses programmées rigoureusement IPv6 Doit être utilisé à plusieurs endroits, je penserais même à la détermination des adresses fixes IPv6 Sur vos serveurs. Vous pouvez les installer sur des serveurs et DNS ou les distribuer à travers DHCPv6, Mais vous aurez moins de travail par rapport aux adresses. SLAAC, Si vous avez déjà besoin de remplacer l'adaptateur réseau ou le serveur.

Si brièvement:

Si vos serveurs échangent des données uniquement à l'intérieur et ne prennent pas d'autres exigences de sécurité pour l'analyse du trafic, vous devez désactiver l'expansion de la confidentialité. Dans aucun autre cas, vous devez équilibrer vos avantages et vos inconvénients.

HTH.

Pour répondre aux questions, connectez-vous ou registre