VLAN セットに接続された仮想 Xen ホストがあります。 Dom0では、DomUに接続するためにVLANごとにブリッジを設定しました。ネットワークブリッジは/etc/network/interfacesに次のように設定されます。
auto eth0
iface eth0 inet manual
auto eth0.1
iface eth0.1 inet manual
vlan_raw_device eth0
auto br1
iface br1 inet manual
bridge_ports eth0.1
これらのインターフェイスのほとんどの場合、Dom0にアクセスできるようにしたくはありませんが、ブリッジを使用したいと思います。
ただし、IPv6を使用すると、各インターフェイスがfe80 :: 64ネットワークからリンクローカルアドレスを自動的に取得し、すべてのインターフェイス/ VLANでDom0を使用できるようになり、セキュリティが効果的に損なわれます。
iptablesを使用してすべての着信パケットをブロックできると仮定していますが、IPv6アドレスを完全に回避する方がきちんとした解決策のようです。
IP層ではなくリンク層にインターフェイスを作成する方法はありますか?
これはlinux / debianです。 (最初にこの詳細を見逃してすみません...)
(master) 844$ cat /etc/issue.net
Debian GNU/Linux 5.0
(master) 845$ uname -a
Linux master 2.6.26-2-xen-amd64 #1 SMP Sun Jun 20 20:51:58 UTC 2010 x86_64 GNU/Linux
ベストアンサー1
Debianのバリエーションと少なくともLinuxを実行しているようです。/etc/sysctl.dインターフェイスまたはすべてのインターフェイスでIPv6を無効にするファイルを配置できます。 IPv6を有効にしましたが、これはIPv6を無効にするために使用するファイルです。最初はすべてを無効にしてから、IPv6を有効にしたときに個々のインターフェイスを無効にしました。ブリッジを無効にできる必要があります。
#80 - 無効 - ipv6.conf #net.ipv6.conf.default.disable_ipv6 = 0 #net.ipv6.conf.all.disable_ipv6 = 0 #net.ipv6.conf.lo.disable_ipv6 = 0 #net.ipv6.conf.eth0.disable_ipv6 = 0 #net.ipv6.conf.virbr0.disable_ipv6 = 0 #net.ipv6.conf.virbr1.disable_ipv6 = 0