我在Centos的消息日志文件中收到很多networking不可达的行。 他们似乎不能解决某些地址,我没有任何想法,为什么我的服务器必须先解决他们。 任何人都可以让我知道这样的错误的起源? 我受到袭击了吗? Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53 Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53 Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53 Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53 Oct 23 11:39:03 server named[1585]: error (network […]
您不能设置Windows DHCP / DHCPv6服务器侦听dynamic地址或所有地址,只有静态地址。 有这个限制的技术原因吗? 有没有解决办法? 我的具体情况: 我正在使用路由器通告来configuration此networking中的IPv6主机。 地址前缀是从上游路由器获取的,可以随时更改,恕不另行通知。 所讨论的Windows DHCPv6服务器仅configuration为分发域search列表和其他非地址相关configuration(configuration为无状态模式,不configuration地址)。 DHCPv6服务器可以使用相同的路由器通告来configuration自己的地址,但不会响应请求。 我无法将其configuration为使用静态地址,因为一旦前缀更改,它将会中断。 我知道我可以在这个子网中build立一个ULA,但这是最后的手段(不是答案)。 更新 :有一个问题是dynamicIPv6路由是否是一个好主意。 即使您的ISP提供静态前缀,我也认为这是必需的。 必须使用它才能从故障转移中快速重新路由,并模仿IPv4 NAT中的伪路由提供的其他function。
我正在编写一个实用程序来检查/ proc / net / tcp和tcp6作为活动连接,因为它比parsingnetstat输出更快。 由于我实际上没有启用ipv6,我主要是利用本地主机作为我的参考点。 这里是我的/ proc / net / tcp6的副本 sl local_address remote_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode 0: 00000000000000000000000000000000:006F 00000000000000000000000000000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 19587 1 ffff880262630000 100 0 0 10 -1 1: 00000000000000000000000000000000:0050 00000000000000000000000000000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 22011 1 ffff880261c887c0 100 […]
我还没有在家庭电脑上使用GoGoNet之类的4to6隧道技术以外的IPv6工作。 我已经阅读了它如何以一般方式工作。 没有NAT(或build议),每个客户端使用公共ipv6地址,我明白继续使用防火墙。 根据我的理解,如果没有使用NAT,UAL和ARIN给你自己的全球范围,这将意味着您的LAN上的所有系统上的ipv6地址将来自您的isp提供的范围。 如果您更改ISP,会发生什么情况? 这是否意味着你必须改变你的整个地址范围? 在典型的ipv4 windows商店中,我可能会遇到这样的情况: Site1 Lan IPs: 192.168.1.0/24 Site2 Lan IPs: 10.0.0.0/24 Site1 Public IP: 11.12.13.1/29 (11.12.13.1 – 11.12.13.5 usable) Site2 Public IP: 20.30.40.1/29 (20.30.40.1 – 20.30.40.5 usable) Site-to-site VPN via firewalls Site1: Lan IP, Public IP:Port Hardware firewall/router – 192.168.1.1, 11.12.13.1 Windows AD DC server (AD DNS server) – 192.168.1.10 […]
我们有一个中等规模的IPv4和IPv6networking,我们的上游提供商正在让IPv6离开两个星期,而他们做了一些事情。 (这是“实验性的”,我们不付钱,但它已经稳定多年了,所以我们把它全面化了。) 我们的networking上至less有十几个不同的操作系统,另外还有一个用于人们手机和笔记本电脑的无线networking,因此在我们所有的设备上禁用IPv6都是不起作用的。 我想在故障转移到IPv4之前避免太久的超时经典的断开的IPv6行为,我想知道做这件事的最好方法是什么。 我是否应该阻止在边界出站的IPv6数据包,并返回一个无法访问的消息,或将导致主机被标记为不可访问,而不会回落到IPv4? 是通过我们的BIND名称服务器禁用AAAA解决scheme是可行的(如果是这样,如何),如果是这样,是明智的? 或者,closuresRADVD就可以做这个工作吗? 我们在我们的一些服务器上使用静态configuration,但只有less数人能够手动完成这些configuration。
在我的Debian 5.0服务器上,我设置了一些如下的iptables规则: ACCEPT tcp — eee.fff.ggg.hhh aaa.bbb.ccc.ddd tcp dpt:80 DROP tcp — 0.0.0.0/0 aaa.bbb.ccc.ddd tcp dpt:80 aaa.bbb.ccc.ddd是我的服务器的IP地址,而eee.fff.ggg.hhh是唯一允许访问端口的服务器。 我注意到我的服务器上有inet6 addr setup,netstat也显示apache2正在监听tcp6地址: tcp6 0 0 :::80 :::* LISTEN 我需要ipv6地址分开的iptables规则? 如果是这样,我该怎么办? 我对ipv6一无所知。 谢谢! 我必须这样做吗? 如果我不使用ip6tables,是否会绕过iptable规则并通过ipv6地址连接到我的:80端口?
我目前习惯于使用像fail2ban这样的工具,通过禁止IPv4地址来防止不必要的stream量离开我的服务器:每个IP有太多的错误日志条目,禁止IP。 但是,当世界完成向IPv6的迁移时,由于“正常”的僵尸networking计算机或攻击者拥有相当多的IPv6地址,否则禁止单个地址可能不再起作用了。 如果我想阻止IPv6用户,那么最好的办法是什么? 使用某个IP掩码或其他东西? 如果在IPv6内部获得多个单独命中,然后禁止整个区块,那么如何进行“放大启发式”? 对我来说,减轻威胁更重要。 如果一些可怜的真正的用户属于同一个阻止IP的块,那么这些人和他们的ISP之间的问题是清除networking块。
一段时间以来,关于IPv4耗尽和IPv6是救世主的消息一直在持续“恐慌”。 所有的大公司正在准备和展示如何完成(谷歌,FaceBook的最后一个行动)。 我理解这个问题,我认为人们应该慢慢地开始行动,但对于小公司来说,这也是一个大问题? 我有一些客户,通常是5到50名员工的小公司,他们的客户使用Windows XP / Windows 7,服务器使用Windows 2003 / Windows 2008R2。 没有什么复杂的1到5台交换机(一些pipe理和一些非托pipe,但没有太复杂 – Linksys / D-Link)。 最重要的是ISP通常提供调制解调器和小型home路由器(D-Link,Draytek,Linksys),或者如果客户端有点像FortiGate FW50B。 他们应该如何准备? 每个公司都应该做什么? 像买新的路由器? 我正在寻找关于如何从我的客户angular度来看待这个问题的一般build议。 我们是不是应该等待ISP先来找我们,然后再试着解决问题,否则我们就不应该担心,只是做我们自己做的事情,没有什么可做的。
鉴于Stack Exchange网站禁止使用IP ,我不知道是否有一个共同的观点或策略,以制定基于用户IP的规则来决定行为。 使用IPv4,您可以对一个给定的IP进行相当可靠的假设: 共享一个子网的IP很可能是同一个用户 虽然IP可以被重复用于各种实际的端点,但是你不可能看到来自不是同一个用户的IP的重复连接,或者至less是同一个家庭/组织(基本上是一个共享的连接) 用户获得一个新的公有IP并不是一件容易的事情(这里有一个中等大小的障碍) 对于IPv6,你能假设所有这一切吗? 我想至less第二点不会是真的了,因为NAT将基本消除IPv6,因为对于任何需要IP的人来说,都会有足够的IP。 如果您已经制定了一套基于IP的策略,那么由于两者的差异,IPv6有什么需要考虑的呢?
我们尝试在新的Windows Server 2008 R2计算机上安装第三方软件产品,并发现除了通过本地localhost或计算机名称(例如:parsing为localhost VPS-Web )之类的环回地址访问本地服务外,所有工作都可以正常工作。 我们不使用IPv6,并希望在软件兼容之前将其禁用。 我尝试使用这些说明来禁用Windows 2008 R2上的IPv6,但并未禁用localhost的协议。 Ping localhost或VPS-Web仍将返回::1:而不是127.0.0.1 。 我可以使用ping localhost -4来获取正确的地址,但IPv6优先于IPv4,因此第三方软件只能获得IPv6地址。