Làm cách nào tôi có thể tắt quảng cáo tuyến hàng xóm IPv6 tự động trên bộ định tuyến?

8

Tôi làm việc cho một ISP đang trong quá trình làm cho cơ sở hạ tầng của nó sẵn sàng IPv6. Các bộ định tuyến lõi của chúng tôi đã có một thiết lập hoạt động, nhưng một phần lớn khách hàng sợi của chúng tôi đứng sau bộ định tuyến chạy Debian Squeeze.

Tuy nhiên, việc kích hoạt các khả năng IPv6 trên linux không phải là vấn đề, khi chúng tôi đã gán địa chỉ IPv6 và các tuyến làm việc cho bộ định tuyến linux, nó sẽ ngay lập tức truyền các địa chỉ và tuyến làm việc tới tất cả các hệ thống phía sau nó, đây không phải là điều chúng tôi muốn.

Gói hiện tại của chúng tôi bao gồm cài đặt địa chỉ IPv6 theo cách thủ công trên tất cả các hệ thống, nhưng dường như tôi không thể tìm thấy công tắc hoặc tùy chọn để thông báo cho nhân không thực hiện quảng cáo bộ định tuyến.

Bất kỳ đề xuất?

debian  routing  ipv6 
Shadur
nguồn
1
Bạn có chắc là bạn không chạy radvd? Bản thân Linux không nên tạo ra các quảng cáo bộ định tuyến.
Celada
Có, khá chắc chắn - không bộ định tuyến nào có cài đặt phần mềm.
Shadur
1
Chà, thật là bí ẩn. Một cái gì đó đang gửi các quảng cáo bộ định tuyến đó và tôi khá chắc chắn đó không phải là hạt nhân (hạt nhân chấp nhận quảng cáo bộ định tuyến một cách tự động mà không cần bất kỳ sự trợ giúp nào từ phần mềm không gian người dùng, nhưng không gửi chúng theo như tôi biết).
Celada

Câu trả lời:

2

để vô hiệu hóa sự chấp nhận RA:

sysctl -w net.ipv6.conf.<interface>.forwarding=0
sysctl -w net.ipv6.conf.all.forwarding=0
sysctl -w net.ipv6.conf.<interface>.accept_ra=0
sysctl -w net.ipv6.conf.all.accept_ra=0

hoặc thêm một cái gì đó như thế này vào / etc / mạng / giao diện

pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/forwarding
pre-up echo 0 > /proc/sys/net/ipv6/conf/<interface>/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/all/accept_ra
pre-up echo 0 > /proc/sys/net/ipv6/conf/default/accept_ra
h3rrmiller
nguồn
Tôi vẫn cần nó để chuyển tiếp. Tôi chỉ cần nó để ngừng gửi hoặc chuyển tiếp quảng cáo bộ định tuyến.
Shadur
chuyển tiếp = 0 sẽ không vô hiệu hóa chuyển tiếp gói. Thật không may, cài đặt ipv6 rất phức tạp, thật không may
h3rrmiller
đây là cho RA chấp nhận btw. Có vẻ như bạn cần phải tắt radvd. hãy xem trong /etc/radvd.conf và thay đổi AdvSendAdvert onđể AdvSendAdvert offtrong giao diện mong muốn.
h3rrmiller
2

Có vẻ như bạn đang kết nối lớp 2 giữa giao diện LAN và WAN. Nếu đó là trường hợp thì rất nhiều lưu lượng truy cập nội bộ của người dùng của bạn có thể kết thúc trên mạng WAN và tất cả Quảng cáo Bộ định tuyến trên mạng WAN (có nghĩa là cho CPE) thực sự là cầu nối với mạng LAN.

Nếu đây là trường hợp thì:

  1. Ngừng làm cầu nối đó, nó có thể dễ dàng xâm phạm an ninh của người dùng của bạn
  2. sử dụng ebtables để lọc giữa LAN và WAN

Tôi thực sự hy vọng tôi sai ở đây ...

Sander Steffann
nguồn
Tôi khá chắc chắn rằng tôi không bắc cầu gì cả.
Shadur
Nếu bạn không bắc cầu thì có gì đó trên CPE của bạn đang gửi các Quảng cáo Bộ định tuyến đó. Nhân không làm điều đó. Thông thường radvdlà công cụ được sử dụng để gửi chúng, nhưng có thể có một số phần mềm khác thực hiện nó trên hộp của bạn.
Sander Steffann
0

Những gì bạn có thể thực sự muốn là DHCP-PD (Phân quyền tiền tố). Với DHCP-PD, thiết lập IPv6 của bạn sẽ trông rất giống với thiết lập IPv4 của bạn.

Trong IPv4, bạn sử dụng DHCP để gán một địa chỉ IPv4 cho khách hàng, sau đó khách hàng sử dụng NAT để phân phối IP cục bộ vào mạng của mình (thường cũng thông qua DHCP).

Trong IPv6, bạn sử dụng DHCP-PD để gán a / 64 cho khách hàng, sau đó khách hàng sử dụng bộ định tuyến adv. để gán địa chỉ từ này / 64 cho mạng nội bộ của nó. Có các tập lệnh xung quanh để cập nhật cấu hình radvd bất cứ khi nào / 64 bạn chỉ định thay đổi.

dr. j.
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.