1 在CentOS 7上使用IPv6获取Squid和TPROXY 我在让TPROXY在CentOS 7服务器上使用Squid和IPv6时遇到麻烦。我以前使用的是带有NAT的通用拦截设置,但仅限于IPv4。我现在正在扩展设置,使其包含带有TPROXY的IPv6。 我一直在使用有关该主题的官方Squid Wiki文章来配置所有内容: http://wiki.squid-cache.org/Features/Tproxy4 到目前为止,TPROXY配置似乎可以正常用于IPv4。但是,使用IPv6时,连接超时,无法正常工作。我将分解设置以便更好地理解。 请注意,所有防火墙和路由规则对于IPv4都是完全相同的,唯一的区别是在下面的示例中inet6以及ip6tables用于配置基于IPv6的规则。 操作系统和内核:CentOS 7(3.10.0-229.14.1.el7.x86_64) 根据yum,所有软件包都是最新的 鱿鱼版:3.3.8(也尝试过3.5.9) 防火墙:iptables / ip6tables 1.4.21 libcap-2.22-8.el7.x86_64 目前,IPv6连接是通过Hurricane Electric通过6in4隧道进行的,该连接在DD-WRT路由器上进行配置,然后将分配的前缀通过委派给客户端radvd。Squid框配置了多个静态IPv6地址。 Squid框位于它所服务的主LAN内。在端口80上被拦截的客户端(主要是无线客户端)通过具有以下防火墙和路由规则的DD-WRT路由器,通过我的DD-WRT路由器被推送到Squid框,这些规则和规则来自于Policy Routing Wiki文章和DD-WRT Wiki http://wiki.squid-cache.org/ConfigExamples/Intercept/IptablesPolicyRoute http://www.dd-wrt.com/wiki/index.php/Squid_Transparent_Proxy ip6tables -t mangle -A PREROUTING -i "$CLIENTIFACE" -s "$PROXY_IPV6" -p tcp --dport 80 -j ACCEPT ip6tables -t mangle -A PREROUTING -i "$CLIENTIFACE" -p tcp --dport 80 … 18 routing squid ipv6 centos7 transparent-proxy
3 为什么ARIN(等等)分配如此大的IPv6地址块? 随着IPv6部署(某种程度上)的增加,整个IPv4耗尽和浪费的问题似乎终于落伍了。 IPv6的唯一目的是解决IPv4地址空间用尽的问题。如果是这样的话,那么为什么管理机构会分配如此大的v6地址块,这些地址完全是完全过时的,显然是浪费的? 分配背后是否存在逻辑推理,还是更多的是“我很富有,让我们在周围共享它们!” 那类的东西? 例如,最近我通过一个服务器分配了一个/ 48块v6地址。对于我的单个服务器来说,这是一个惊人的1,208,925,819,614,629,174,706,176个地址。我怀疑内核是否会让我为一个接口分配那么多地址,并且我怀疑任何可用的NIC都无法支持其中的十分之一。为什么将IPv6地址分摊成这么大的块? 18 ipv6 ip-address
1 如何禁用映射了IPv4的IPv6? 在我的Linux机器上,我有各种守护程序可以绑定到上所有启用IPv6的接口::。当他们这样做时,Linux将IPv4请求发送到映射为例如的守护程序::ffff:198.51.100.37。 相反,当守护程序绑定到时,我希望IPv4连接被拒绝,仅IPv6连接被接受::。要接收IPv4连接,我希望守护程序必须显式绑定到0.0.0.0(以及::)。 换句话说,我想只在IPv6上而不是在IPv4上运行服务。 有没有办法做到这一点? 17 linux ipv6
1 ISATAP中的本地链接和全局链接地址之间的区别 ISATAP中的本地链接地址和全局链接地址有什么区别? 例如: link-local address: fe80::5efe:c000:0201 global address: 3ffe:b00:1:2::5efe:c000:0201 我们为什么不只使用一个地址?为什么同时使用这两种方法会有帮助? 17 ipv6 link-local
4 如何从Linux完全动态地禁用IPv4堆栈? 如何从Linux 禁用IPv4堆栈?我想动态地做到这一点,即有时我要启用它,有时我只需要IPv6堆栈。有任何便携式方法可以做到这一点吗?如果您知道如何在任何发行版中执行此操作,那么它也对我有很大帮助。 17 linux networking ipv6 linux-networking ipv4
3 禁止IPv6地址 我目前习惯于使用诸如fail2ban之类的工具,通过禁止IPv4地址来使不需要的流量远离服务器:每个IP的错误日志条目过多,请禁止该IP。 但是,当世界完成向IPv6的迁移时,由于“正常”的僵尸网络计算机或攻击者拥有很多IPv6地址,禁止单一地址可能不再起作用了吗? 如果我想阻止IPv6用户,什么是最好的方法?使用某个IP掩码还是其他? 当您在IPv6内收到多个单个匹配然后禁止整个块时,如何进行“升级启发式”呢? 对我来说,减轻威胁更为重要。如果某些贫穷的真实用户属于具有被阻止IP的同一阻止,那么这些人与其ISP之间的问题就是清除该网络阻止。 16 ipv6 fail2ban
3 是否有Linux内核引导参数来配置IPv6地址? 我知道有一个名为的参数ip,您可以通过引导加载程序在Linux内核上配置IPv4地址。如下所示: ip=192.0.2.1::192.0.2.62:255.255.255.192::eth0:none 我正在寻找IPv6配置的相同参数。我在内核文档中找不到关于此的任何信息。 更新:因为很多人问我为什么需要这样做:使用内核配置的想法与这个问题有关。我怀疑常规的启动接口配置尚未完成,因为接口已经启动。原因可能是因为我正在使用带有Dropbear SSH服务器的预启动环境,以允许我解锁加密的根分区。通过GRUB使用该ip=参数配置此环境的IP地址。该以太网段上没有可用的DHCP或路由器广告,并且由于这是大型托管公司提供的上行链路段,因此无法更改这一事实。 16 linux configuration ipv6 boot-loader
7 为什么通过无状态地址自动配置使用DHCPv6? IPv6和RFC 2462为主机提供了一种通过无状态地址自动配置来配置自己的IP地址的方法。在我看来,这就像蜜蜂的膝盖一样,这让我想知道为什么有人会想麻烦地配置DHCPv6服务器。我不是将网络作为一种职业来管理,所以我猜想有一些显而易见的简单原因导致人们想要支持DHCPv6,这在我看来是不常见的。有人可以详细说明这些原因吗? 16 dhcp ipv6 radvd ndp
5 IPv6:如何开始?(ISP角度) 在我们公司中,我们拥有范围为/ 21(2048)个IPv4公共地址。 我们有一堆思科路由器和服务器。 如何开始使用IPv6?我们还可以做些什么来向我们的客户提供IPv6补充的互联网? 16 networking cisco ipv6 ipv4
6 IPv6回送地址(相当于127.xxx) 我设置了一个开发环境,在其中我为多个网站设置了单独的回送地址。 例如,我有以下内容: 127.0.0.1 www.example.com 127.0.0.2 foo.example.com 127.0.0.3 bar.example.com 127.0.0.4 waffles.example.com 我想要一个等效的IPv6解决方案。 我已经知道可以将:: 1用作回送地址,但是:: 2,:3等似乎不起作用。 IPv6中还有其他环回地址吗?有没有办法拥有多个唯一的回送地址? 16 ipv6 loopback
2 托管公司应该做什么以准备IPv6? 在撰写本文时,IPv4耗尽站点估计还需要300天才能分配所有IPv4地址。我一直在关注IPv4地址的耗尽,已经意识到“危机”已经持续了很多年,并且IPv4地址的持续时间比预期的要长,但是... 作为一家小型SaaS /网站托管公司的系统管理员,我应该采取哪些步骤来准备IPv6?我们在远程数据中心的托管硬件上运行了少数CentOS和Ubuntu Linux系统。我们所有的服务器都有IPv6地址,但它们似乎是链接本地地址。 我们的主要业务功能是在专有网站CMS系统上托管网站。我关注的问题之一是SSL证书;目前,每个拥有SSL证书的客户都会获得专用的IPv4 IP地址。我还应该关注什么/应该采取什么行动来准备IPv4耗尽? 16 linux ipv6
2 在debian上的网络接口上添加整个IPv6 / 64块 我尝试使用以下命令将整个IPv6(/ 64)块添加到接口 ip route add local 2001:41d0:2:ad64::/64 dev lo 像描述在这里我的Debian服务器上,但我似乎失去了一些东西。 例如2001:41d0:2:ad64::fe,如果我在本地ping 一切正常,但如果从远程计算机尝试,则无法正常工作。然后,我尝试在eth0上添加路由: ip route add local 2001::41d0:2:ad64::/64 dev eth0 现在,我什至无法在本地ping任何示例地址! 我有点迷茫,因为我似乎丢失了一些东西,但是我在这里找不到答案。 简而言之:我想2001:41d0:2:ad64::/64绑定到eth0,以便可以从我的机器上的Internet访问此块包含的每个IP。 我希望有人可以指出正确的方法。提前致谢。 ISP提供的指南确实要求我将每个IPv6明确添加到接口。我希望它是隐含的。 具有明确IP地址绑定的工作配置 / etc / network / interfaces: auto eth0 iface eth0 inet static address my.ip.v4 netmask 255.255.255.0 network my.network.address.ip broadcast my.broadcast.address.ip gateway my.gateway.ip iface eth0 inet6 … 15 ipv6 linux-networking debian-wheezy
3 如何通过SSH将rsync与IPv6地址一起使用? 我一直很难通过rsync连接到我的IPv6地址。因为目标文件夹的参数是用冒号分隔的,所以IPv6地址会像下面这样破坏: root@fdff::ffff:ffff:ffff:/path/to/dest 如何通过SSH将rsync与IPv6地址一起使用? 15 linux ubuntu ssh rsync ipv6