分享
 
 
 

Linux网络的IPv6应用

王朝system·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

IPv6(Internet Protocol Version 6)协议是取代 IPv4 的下一代网络协议,它具有许多新的特性与功能。由 IP 地址危机产生和发展起来的 IPv6 作为下一代互联网协议已经得到了各方的公认,未来互联网的发展离不开IPv6的支持和应用。Ipv6 协议和 Ipv4 协议不论在结构上还是系统工具的使用上都不大相同。 Linux 是所有操作系统中最先支持 IPv6 的,这里介绍一下 Linux 下的 IPv6 的地址、路由设定、防火墙配置、安全工具,使大家可以在 Linux 网络环境下从 IPv4 快速过渡到 IPv6。

配置 Ipv6 协议

下面笔者以 Mandrake 9.1 Linux 为例部署 Linux 下的 IPv6。

1、加载 IPv6 模块

和 Windows 系统相比 Linux 对 Ipv6 的支持更好,一般基于 2.4 内核的 Linux 发行版本都可以直接使用 Ipv6,使用前要看系统 IPv6 模块是否被加载,如果没有的话可以使用命令手工加载,这需要超级用户的权限。然后使用命令检测,图 1 中第五行处显示 IPv6 地址 ( inet6 addr:fe80::200:e8ff:fea0:2586/64 )证明 IPv6 已经加载。

# modprobe IPv6

#ifconfig -a

显示如下内容:

图 1 显示 IPv6 地址已经加载

2、使用 Ping 命令检测网卡的 IPv6 地址是否有效

和 IPv4 不一样使用 Ping6 命令时必须指定一个网卡界面,否则系统将不知道将数据包发送到那个网络设备,I表示 Interface、eth0 是第一个网卡、c 表示回路,3 表示 Ping6 操作三次。结果见图 2:

#ping6 -I eth0 -c 1 fe80::200:e8ff:fea0:2586

3、使用 IP 命令

IP 命令是 iproute2 软件包里面的一个强大的网络配置工具,它能够替代一些传统的网络管理工具。如:ifconfig、route 等。

(1)使用 "ip" 命令查看 IPv6 的路由表:

#/sbin/ip -6 route show dev eth0

(2)使用 "IP" 命令添加一个路由表:

#/sbin/route -A inet6 add 2000::/3 gw 3ffe:ffff:0:f101::1

(3)用 IP 命令设定 IPv6 的多点传播 Neighbor Solicitation

IPv6 的 Neighbor Discovery 继承了 IPv4 的 ARP(Address Resolution Protocol 地址解析协议),可以重新得到网络邻居的信息,并且可以编辑/删除它.使用IP命令可以知道网络邻居的设定(其中,00:01:24:45:67:89 是网络设备的数据链路层的 MAC 地址):

#ip -6 neigh show fe80::201:23ff:fe45:6789 dev eth0 ll addr 00:01:24:45:67:89

router nud reachable

Linux Ipv6 版本网络环境的防火墙

安装:

基于 Linux 2.4 内核的防火墙的关键是 iptables。在 2.2 系列的时候它取代了 ipchains 和 2.0 系列之前的 ipfwadm。如果你想使用任何形式的防火墙都需要安装iptables。

(1)下载 Ipv6 版本的 iptables,下载链接:ftp://ftp.uni-bayreuth.de/pub/ Linux /ark Linux /1.0-0.alpha8.2/i586/iptables-ipv6-1.2.7a-1ark.i586.rpm

(2) 安装防火墙:

#rpm -ivh iptables-ipv6-1.2.7a-1ark.i586.rpm

配置 iptables

iptables 是与主流的 2.4.x 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器,则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。下面马上会详细讨论这些规则以及如何建立这些规则并将它们分组在链中。

(1) 清理旧规则:

#ip6tables [-FXZ]

参数说明:

-F :清除所有的已订定的规则;

-X :杀掉所有使用者建立的表(table)。

-Z :将所有的链 (chain) 的计数与流量统计都归零。

(2)建立政策

#ip6tables [-t tables] [-P] [INPUT,OUTPUT,FORWARD, PREROUTING,OUTPUT,POSTROUTING] [ACCEPT,DROP] [-p TCP,UDP] [-s IP/network] [--sport ports] [-d IP/network] [--dport ports] -j

参数说明:

-t :定义表( table)。

tables :table 表的名称,

-P :定义政策( Policy )。

INPUT :数据包为输入主机的方向;

OUTPUT :数据包为输出主机的方向;

FORWARD :数据包为不进入主机而向外再传输出去的方向;

PREROUTING :在进入路由之前进行的工作;

OUTPUT :数据包为输出主机的方向;

POSTROUTING :在进入路由之后进行的工作。

TCP :TCP 协议的数据包。

UDP :UDP 协议的数据包;

-s :来源数据包的 IP 或者是网络。

--sport :来源数据包的端口( port)号。

-d :目标主机的 IP 或者是网络。

--dport :目标主机端口的(port)号。

ACCEPT :接受该数据包。

DROP :丢弃数据包。

(3) 范例:

1、允许 ICMPv6 数据包进入主机(即允许 Ping 主机 Ipv6 地址):

#/sbin/ip6tables -A INPUT -i sit+ -p icmpv6 -j ACCEPT

2、允许 ICMPv6 数据包从主机输出:

# ip6tables -A OUTPUT -o sit+ -p icmpv6 -j ACCEPT

3、允许使用 IP 地址是 3ffe:ffff:100::1/128 数据使用 SSH

# ip6tables -A INPUT -i sit+ -p tcp -s 3ffe:ffff:100::1/128 --sport 512:65535

? --dport 22 -j ACCEPT

SSH 的英文全称是 Secure SHell。通过使用 SSH,你可以把所有传输的数据进行加密,这样“中间服务器”这种攻击方式就不可能实现了,而且也能够防止 DNS 和 IP 欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH 有很多功能,它既可以代替 telnet,又可以为 ftp、pop、甚至 ppp 提供一个安全的“通道”。SSH 绑定在端口 22 上,其连接采用协商方式使用 RSA 加密。身份鉴别完成之后,后面的所有流量都使用 IDEA 进行加密。SSH(Secure Shell)程序可以通过网络登录到远程主机并执行命令。SSH 的加密隧道保护的只是中间传输的安全性,使得任何通常的嗅探工具软件无法获取发送的内容。

IPv6 网络的安全工具

Nmap 是在免费软件基金会的 GNU General Public License (GPL) 下发布的,由 Fyodor 进行开发和维护,可从 www.insecure.org/nmap 站点上免费下载。nmap 是一款运行在单一主机和大型网络情况下的优秀端口扫描工具,具有高速、秘密、可以绕过防火墙等特点。它支持多种协议,如 TCP、UDP、ICMP 等。nmap 也具有很多高性能和可靠性的特点,如动态延时计算、包超时重发、并行端口扫描、通过并行 ping6 探测主机是否当掉。它从 3.10 版本开始支持 IPv6。下载链接:http://gd.tuwien.ac.at/infosys/security/nmap/nmap-3.48.tgz

nmap 安装编译过程如下:

#tar zxvf nmap-3.48.tgz

#cd nmap-3.48

# ./configure;# make;#make install

nmap 扫描类型

nmap 的语法相当简单:nmap 的不同选项和-s标志组成了不同的扫描类型,Ipv6 版本的 nmap 支持两种扫描方式:

-sT 即 Port Scanning,通常称为端口扫描。

-sS 即 TCP SYN,通常称为半开发扫描。

nmap 扫描端口实例:

# nmap -6 -sT ::1

Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2003-12-23 11:55 UTC

All 1657 scanned ports on ::1 are: closed

Nmap run completed -- 1 IP address (1 host up) scanned in 20.521 seconds

输出的扫描报告显示 Nmap 扫描了 1657 个端口,一个是打开的其他是关闭的。

注意事项:如果你打算在 IPv6 网络下使用 Nmap,下面几点经验可能对你有帮助:

● 避免误解。不要随意选择测试 Nmap 的扫描目标。许多单位把端口扫描视为恶意行为,所以测试 Nmap 最好在内部网络进行。如有必要,应该告诉同事你正在试验端口扫描,因为扫描可能引发IDS警报以及其他网络问题。

● 建立安全基准。在Nmap的帮助下加固网络、搞清楚哪些系统和服务可能受到攻击之后,下一步是从这些已知的系统和服务出发建立一个安全基准,以后如果要启用新的服务或者服务器,就可以方便地根据这个安全基准执行。

如果你想查看在 Ipv6 协议网络工作的 Linux 程序可以访问:http://www.netcore.fi/pekkas/ Linux /ipv6/ 这里能找到很多有 IPv6 支持的 RPM 包。

表1 Linux 网络 IPv4 和 IPv6 功能对照

IPv4

IPv4 的回路地址为 127.0.0.1

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有