Мой хост VPS может бесплатно выделить мне небольшой блок адресов IPv6, и я как бы хотел это ради того, чтобы попробовать на моем небольшом веб-сайте / VPS для разработчиков.
Меня больше всего беспокоит то, что я должен сделать, чтобы использовать их безопасно или вообще.
Будет ли большинство сервисов (например, SSH, Apache) просто не читать входящие адреса IPv6, или они требуют перекомпиляции или модуля?
Сможет ли мой брандмауэр (iptables или еще что-то в настоящее время) блокировать порты для обоих типов адресов и нормально работать с ними из коробки?
Мое ядро довольно новое, 2.6.39.3, я полагаю, на Debian (AMD64)
Спасибо за любые идеи или предложения, которые вы могли мне дать по этому поводу, у меня есть DNS-провайдер HE.NET, который должен иметь возможность предоставлять записи IPv6 (я действительно просто хочу сделать ipv6.mysite.com для развлечения), если это вот что мне нужно для этого.
Мой опыт показывает, что большинство приложений будут просто работать (в лучшем случае вам может потребоваться сказать «да, прослушивать и IPv6 тоже», но большинство приложений делают это по умолчанию).
Что касается безопасности, важно помнить, что все, что вы сделали для ограничения потока пакетов IPv4, необходимо воссоздать в IPv6. Большинство людей сводят это к следующему: «убедитесь, что ваш брандмауэр блокирует IPv6 так же, как и IPv4», но могут быть другие вещи, кроме брандмауэров, выполняющих блокировку (hosts.allow / deny, ACL в приложениях и тому подобное), и вы нужно убедиться, что все это работает.
Если вы выполняете какой-либо мониторинг, вам нужно убедиться, что вы отслеживаете как версии IPv4, так и IPv6, чтобы убедиться, что вы не предоставляете ухудшенные услуги клиентам IPv6, и убедитесь, что какие-либо инструменты анализа журналов распознают адреса IPv6.
Больше ничего не приходит в голову сразу. Наслаждайтесь новым Интернетом.
При запуске веб-сервера вы должны знать, какие правила, если таковые имеются, вы должны ограничить доступ к виртуальным хостам или путям по IPv4-адресу.
Например, я запускаю VPN на свой хост, поэтому через интрасеть я могу получить доступ к частному сайту, включая приложения поддержки, такие как phpmyadmin для MySQL. Однако при включении IPv6 я случайно открыл путь к phpmyadmin и впоследствии получил заложенный из-за известного эксплойта в этой версии.