PDA

Bekijk Volledige Versie : ipv6 & csf



hostb
22/01/10, 19:13
CSF geeft tegenwoordig de melding dat ipv6 is geactiveerd.
Begrijpelijk dat dit een beveiligings risico geeft.

Nu kom ik als oplossing alleen de volgende tegen:
http://www.unixtutorial.org/2009/12/how-to-disable-ipv6-in-red-hat-linux/

Dit werkt alleen na een reboot, wat ik lees.

Zijn er ook andere mogelijkheden?

Bedankt!

hostb
27/01/10, 14:58
Niemand?

Randy
27/01/10, 15:04
Ik verbaas me dat mensen nu pas reageren. Uitschakelen kan, maar over enkele maanden mag je de boel weer verbouwen omdat je toch echt naar IPv6 moet. Zelfs wanneer je een correcte IPv6 instelling hebt, krijg je deze waarschuwing. Nu heb je denk ik enkel een local link adres dat van 'buiten' niet eens bereikbaar is.
Ik zeg gewoon zeuren om Ipv6 en zorgen dat de boel goed geconfigureerd is. Vroeg of laat ontkom je er niet aan. Tot die tijd is er nog een tussenoplossing: met ipv6tables gewoon alle poorten dicht zetten.

hostb
27/01/10, 15:16
Randy,

Dit bevestigd mijn gedachten hierover, want vervolg vraag was ook geweest wat als we strax actief ipv6 invoeren enz enz.

Bedankt.

Randy
27/01/10, 15:19
CSF gebruikt enkel iptables, geen ipv6tables. Ooit, wanneer ipv4 schaars is, zal dit er wel in komen.


[root@sv03 ~]# ip6tables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

rensariens
29/01/10, 21:13
Is er eigenlijk al iets beschikbaar a CSF dat wel werkt met ipv6? Vrijwel alle security scripts die ik hier heb moet je ipv6 echt uitzetten om ze goed te laten werken.

pierce
25/04/10, 20:33
ter info, bij CSF zijn ze wel bezig met IPv6.


We are working on it. There are issues with ip6tables, especially with kernels < v2.6.20 (such as the current CentOS v5 kernel) which do not support SPI (connection tracking). There's also care needed with the new icmpv6 filtering that needs to be taken care of.

We should hopefully have an experimental ipv6 option available in the near future.

Yourwebhoster
25/04/10, 22:27
http://forum.configserver.com/showthread.php?t=3457&highlight=ipv6
Voor diegenen die de thread willen zien.

Randy
26/04/10, 00:40
Op mijn weblog staat een artikel over DA, IPv6 en CSF... http://weblog.aklmedia.nl/2010/03/help-csf-zegt-ipv6-is-fout/
Met een script als workaround voor ipv6tables.

pierce
05/05/10, 09:18
Goed nieuws, er is een nieuwe versie van CSF met beta IPv6 support uitgekomen!
Tevens hebben ze de "foutmelding" in CSF dat IPv6 is geactiveerd genuanceerd, en wordt deze alleen weergegven wanneer je een /128 ipv6 adres hebt.
Ik zal mijn testserver vandaag voorzien van de nieuwe versie. Uiteraard ben ik ook benieuwd naar jullie ervaringen met de nieuwe versie!


5.04 - Added BETA IPv6 support. See csf.conf for more information on the new
settings: IPV6 IP6TABLES IPV6_ICMP_STRICT IPV6_SPI TCP6_IN TCP6_OUT
UDP6_IN UDP6_OUT

New CLI option csf --status6 (csf -l6) added to list ip6tables rules

Changed temporary DENY and ACCEPT working file formats to use a
different record separator to cater for future IPv6 support

Advanced Allow/Deny Filters now use | as the separator character to
cope with IPv6 addresses. Legacy support remains for the old :
separator for IPv4 addresses, though these should also now use | as
the field separator

In Server Check report, don't issue IPv6 warning if only ::1/128 is
bound to a NIC (i.e. loopback)

Upgraded Net::CIDR::Lite to v0.21

Upgraded from IP::Countries to Geography::Countries

CSF changelog: http://www.configserver.com/free/csf/changelog.txt

ascent
29/07/10, 15:03
In 5.09 is het nu ook final, alleen werkt 't hier nog niet overal even lekker (er worden zaken geblokkeerd die toch echt zouden moeten werken).

edit: ahja, een oudere kernel (<2.6.20), dus SPI op 0 zetten en alles uitgaand toestaan ~zucht~... Bah, oude kernels..

Yourwebhoster
29/07/10, 18:11
In 5.09 is het nu ook final, alleen werkt 't hier nog niet overal even lekker (er worden zaken geblokkeerd die toch echt zouden moeten werken).

edit: ahja, een oudere kernel (<2.6.20), dus SPI op 0 zetten en alles uitgaand toestaan ~zucht~... Bah, oude kernels..

Als je dit wilt oplossen zal je toch echt een kernel upgrade moeten uitvoeren. Als je de kernel eenmaal gecompiled hebt en alles werkt, dan is het installeren op andere servers zo gedaan.

1000HrZ
13/08/10, 12:09
CSF + IPV6 werkt goed voor zover ik het gebruik.
De functionaliteit is alleen wel nog wat beperkt