Całkowite wyłączenie ipv6

Protokół ipv6 jak na razie nie zawojował rodzimego rynku IT. Choć największe firmy z sektore usług informatycznych w Polsce mają włączoną obsługę ipv6, aktywnie wspierają protokół w wersji 6 to jednak końcowi odbiorcy wciąż mają opór przed jego stosowaniem. Dlaczego? Być może dlatego, że jego zapis jest skomplikowany dla większości, być może dlatego, że adresy ipv4, które teoretycznie skończyły się już wiele wiele lat temu wciąż świetnie się sprzedają?

Tak, bardzo ciężko dziś zostać sprzedawcą adresów IP w wersji 4 z pierwotnego rynku co nie zmienia fakty, że nadal mamy miliony wolnych adresów, które są w sprzedaży przez największych graczy na rynku i jakoś nie zapowiada się, by w najbliższej przyszłości miało się to zmienić.

Ok, tyle teorii. Jednak ipv6 jak najbardziej istnieje i jest domyślnie włączone w niemal każdej dystrybucji Linux instalowanej przez providerów jak i czystej przez nas samych. O co tyle szumu? O to, że sporo osób po zbudowaniu dobrego zabezpieczenia firewall, skomplikowanych mechanizmów typu port-knocking itd. zapomina, że domyślnie większość usług binduje się na 0.0.0.0 tym samym także i na adresach ipv6. Skanery botów i przestępcy o tym wiedzą, dlatego aktywnie i chętnie skanują klasy ipv6 w poszukiwaniu otwartych aplikacji.

Jeżeli nie korzystamy z protokołu ipv6 to można oczywiście zablokować go za pomocą firewalla (np. iptables), ale najlepiej wyłączyć całkowicie w systemie ipv6 i mieć problem z głowy.

Jak to zrobić? Najlepiej za pomocą dopisku w menedżerze rozruchu Grub. Jest on domyślny w dystrybucjach bazujących na Debianie, czy w CentOS.

nano /etc/default/grub
GRUB_CMDLINE_LINUX="ipv6.disable=1 pozostałe dotychczas istniejące wpisy"
GRUB_CMDLINE="ipv6.disable=1 pozostałe dotychczas istniejące wpisy"

Zapisujemy i musimy przetworzyć plik konfiguracyjny, aby został zaczytany po starcie systemu.

W tym celu wydajemy polecenie:

update-grub

Powinniśmy zobaczyć:

Generating grub configuration file …
Found linux image: /boot/vmlinuz-4.9.0-11-amd64
Found initrd image: /boot/initrd.img-4.9.0-11-amd64
Found linux image: /boot/vmlinuz-4.9.0-9-amd64
Found initrd image: /boot/initrd.img-4.9.0-9-amd64
done

Jeżeli otrzymamy komunikat o braku komendy „update-grub” tzn, że nie mamy wszystkich wpisów w PATH systemu i trzeba je dodać lub po prostu skorzystać z innej komendy (robiącej to samo, bo „update-grub” jest dowiązaniem do niej).

/usr/sbin/grub-mkconfig -o /boot/grub/grub.cfg

Jeżeli wynikiem polecenia jest jak wyżej „done”, restartujemy system i cieszymy się Linuxem bez ipv6 🙂

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *