我在云提供商上有一个 Debian 11 VPS,启用了 IPv4 和 IPv6,并且 eth0 接口具有全局范围的 ipv6 地址(公共)和链接范围的 ipv6 地址(fe80::/10)。
服务器的唯一目的是托管一个公共网站。
我正在使用 iptables/ip6tables 在服务器上实现防火墙。我阅读了 RFC4890,但仍然不确定如何处理某些 ICMPv6 消息类型,以及我的用例是否真的需要它们。虽然我允许链接范围内的任何流量,但我不确定是否可以安全地阻止全局范围内的以下 ICMPv6 消息类型:
路由器请求(类型 133)
路由器广告(类型 134)
邻居招揽(135型)
邻居广告(136 型)
反向邻居发现请求(类型 141)
反向邻居发现广告(类型 142)
侦听器查询(类型 130)
听众报告(类型 131)
监听器完成(132 型)
侦听器报告 v2(类型 143)
证书路径请求(类型 148)
证书路径广告(类型 149)
多播路由器广告(类型 151)
组播路由器请求(类型 152)
组播路由器终端(153 型)
非常感谢您的帮助。
我正在寻找一种方法来检索 LAN 网络上特定主机的 MAC 地址。我知道它的 IPv6 地址。理想情况下,我想要一种方法来触发 Linux 内核为我执行邻居请求,然后我可以通过命令检索主机 MAC 地址ip -6 neighbour
现在,我发现触发邻居请求的唯一方法是尝试在随机端口上建立与主机的 TCP 连接。但我不觉得这个解决方案真的很漂亮:
curl --connect-timeout 1 "http://[fe80::1234%eth0]:12345"
因此,我们最近从 LIR 中获得了 /48 前缀,并开始在实验室中进行小规模部署。
令我感到奇怪的是,像http://ipv6-test.com/这样的网站坚持允许传入的 ICMP Echo 请求。我明白为什么你应该允许 ICMPv6 传出,但传入?即使它只是一个ping?
所以,我的问题是:除了可能使用 ICMP 的 DDoS 攻击之外,允许传入的 ICMP 回显请求是否有任何缺点?
我阅读了 RFC4890(https://www.ietf.org/rfc/rfc4890.txt),但在那里找不到明确的答案。
A.5。ICMPv6 回声请求和回声响应
表明
对精心设计的 IPv6 网络(参见第 3.2 节)进行扫描攻击并不存在重大风险,因此默认情况下应允许连接检查。
鉴于 RFC 已有近 10 年的历史,这一点仍然有效吗?此外,RFC 不区分传出方向和传入方向。
我一直觉得 v4 的建议是在网关上阻止 ICMP,但话说回来,v6 严重依赖 ICMP。
那么,有什么建议吗?