我有一个Ubuntu的服务器(serverA)有几个IPv6地址。 其中之一是基于它的MAC地址,是networking已知的,另一个我认为ubuntu创build为隐藏MAC地址的“私人”地址。
我有另一个服务器(serverB),它承载一个数据库,并要求来自serverA的传入连接。 serverB有一个防火墙,只允许来自serverA的传入连接。 我已经在serverB的防火墙例外中指定了serverA的基于MAC的IP地址,但是不知道私有地址,但是没有添加这个地址。然而,来自serverA的打包者似乎默认来自私有地址。
私人地址是确定性的吗? 我怎样才能禁用它? 我应该禁用它吗?
隐私地址应该是随机的,经常改变。 它不应该是确定性的; 这与这个概念是对立的。 它应该用于传出连接。
我不build议禁用它,因为它不像SLAAC(MAC衍生地址的适当术语)那样公开你的MAC是有用的。 然而,一些重视确定哪个主机之后build立连接的人更喜欢禁用它。
如果您必须使用基于IP的ACL,则必须禁用它。 您可以通过将ip6-privacy=0添加到/etc/NetworkManager/system/connections/的ipv6部分。 如果没有停止,你可能还想检查/etc/sysctl.d/10-ipv6-privacy.conf 。
我将专注于您的最后一个问题: 您是否应该禁用私人地址?
我同意@Falcon在RFC 4941中定义的隐私扩展是有用的。 我总是在可能连接到互联网上的服务的客户/工作站上启用它们,我希望手机生产商能够在他们所有的设备上默认启用它们。
但在你的设置中,你正在谈论两台服务器,其中一台服务器(不仅我假设)充当另一台服务器的客户端。 第一个问题是:你的设置是什么? 这些服务器是否在公司networking中? 他们有什么外部访问? serverA是否连接到互联网(没有代理)? 如果所有stream量都是内部stream量,而且您没有看到映射内部networkingstream量模式的对手的威胁,则只需禁用服务器上的隐私扩展。 根据定义,服务器必须至less有一个广为人知的地址,大部分是通过DNS,所以攻击者可以使用这个地址攻击服务器。 隐藏其地址不是服务器的有效攻击缓解策略。 (当然,把负载平衡器放在前面,地址是)
美国的“支持IPv6的产品的DoD IPv6标准configuration文件” (对不起,我找不到一个比5.0更新版本的链接)也要求主机/工作站的隐私扩展“,它将在需要隐私地址扩展或者需要保持匿名“,并强烈build议他们为其他主机/工作站。 这个要求只适用于服务器, 如果他们也作为客户(如在你的设置), 并需要保持匿名(你必须决定)。 所以,通用服务器不需要激活隐私扩展。
关于ACL:如果在几个地方必须使用硬编码的IPv6地址,我甚至会考虑在服务器上定义固定的IPv6地址。 您可以将它们设置在服务器和DNS上,或通过DHCPv6分发,但与SLAAC地址相比,如果您需要更换NIC或服务器,则工作量会减less。
因此,简而言之: 如果您的服务器仅在内部进行通信,并且没有针对stream量分析的高级安全要求,则应该禁用隐私扩展。 在其他情况下,你必须平衡你的优点和缺点。
HTH。