IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → Linux網(wǎng)絡(luò)的IPv6應(yīng)用

Linux網(wǎng)絡(luò)的IPv6應(yīng)用

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(1)

  IPv6(Internet Protocol Version 6)協(xié)議是取代IPv4的下一代網(wǎng)絡(luò)協(xié) 議,他具有許多新的特性和功能。由IP地址危機(jī)產(chǎn)生和發(fā)展起來的IPv6作為下一代互連網(wǎng)協(xié)議已得到了各方的公認(rèn),未來互連網(wǎng)的發(fā)展離不開IPv6的支持 和應(yīng)用。Ipv6協(xié)議和Ipv4協(xié)議不論在結(jié)構(gòu)上還是系統(tǒng)工具的使用上都不大相同。Linux是所有操作系統(tǒng)中最先支持IPv6的,這里介紹一下 Linux下的IPv6的地址、路由設(shè)定、防火墻設(shè)置、安全工具,使大家能在Linux網(wǎng)絡(luò)環(huán)境下從IPv4快速過渡到IPv6。

  設(shè)置Ipv6協(xié)議

  下面筆者以Mandrake 9.1 Linux為例部署Linux下的IPv6。

  1、加載IPv6模塊

  和視窗系統(tǒng)系統(tǒng)相比Linux對Ipv6的支持更好,一般基于2.4內(nèi)核的Linux發(fā)行版本都能直接使用Ipv6,使用前要看系統(tǒng)IPv6模塊 是否被加載,如果沒有的話能使用命令手工加載,這需要終極用戶的權(quán)限。然后使用命令檢測,圖1中第五行處顯示IPv6地址(inet6

  addr:fe80::200:e8ff:fea0:2586/64)證實(shí)IPv6已加載。 bbs.itmop.com

  # modprobe IPv6

 ?。fconfig -a

  顯示如下內(nèi)容:

  圖1 顯示IPv6地址已加載

  2、使用Ping命令檢測網(wǎng)卡的IPv6地址是否有效

  和IPv4不相同使用Ping6命令時必須指定一個網(wǎng)卡界面,否則系統(tǒng)將不知道將數(shù)據(jù)包發(fā)送到那個網(wǎng)絡(luò)設(shè)備,I表示Interface、eth0

  是第一個網(wǎng)卡、c表示回路,3表示Ping6操作三次。結(jié)果見圖2:

  #ping6 -I eth0 -c 1 fe80::200:e8ff:fea0:2586

  3、使用IP命令

  IP命令是iproute2軟件包里面的一個強(qiáng)大的網(wǎng)絡(luò)設(shè)置工具,他能夠替代一些傳統(tǒng)的網(wǎng)絡(luò)管理工具。如:ifconfig、route等。 itmop.com

  (1)使用"ip"命令查看IPv6的路由表:

  #/sbin/ip -6 route show dev eth0

 ?。?)使用"IP"命令添加一個路由表:

  #/sbin/route -A inet6 add 2000::/3 gw 3ffe:ffff:0:f101::1

 ?。?)用IP命令設(shè)定IPv6的多點(diǎn)傳播Neighbor Solicitation

  IPv6的Neighbor Discovery繼承了IPv4的ARP(Address Resolution

  Protocol地址解析協(xié)議),能重新得到網(wǎng)絡(luò)鄰居的信息,并且能編輯/刪除他.使用IP命令能知道網(wǎng)絡(luò)鄰居的設(shè)定(其中,00:01:24:45:67:89是網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)鏈路層的 MAC地址):

  #ip -6 neigh show fe80::201:23ff:fe45:6789 dev eth0 ll addr 00:01:24:45:67:89

  router nud reachable

  Linux Ipv6版本網(wǎng)絡(luò)環(huán)境的防火墻 bbs.itmop.com網(wǎng)管論壇

  安裝:

  基于Linux2.4內(nèi)核的防火墻的關(guān)鍵是iptables。在2.2系列的時候他取代了ipchains和2.0系列之前的ipfwadm。如果你想使用所有形式的防火墻都需要安裝iptables。

 ?。?)下載Ipv6版本的iptables,下載鏈接:linux/arklinux/1.0-0.alpha8.2/i586/iptables-ipv6-1.2.7a-1ark.i586.rpm">ftp://ftp.uni-bayreuth.de/pub/linux/arklinux/1.0-0.alpha8.2/i586/iptables-ipv6-1.2.7a-1ark.i586.rpm

 ?。?) 安裝防火墻:

  #rpm -ivh iptables-ipv6-1.2.7a-1ark.i586.rpm

  設(shè)置iptables

  iptables 是和主流的 2.4.x 版本 Linux 內(nèi)核集成的 IP 信息包過濾系統(tǒng)。如果 Linux 系統(tǒng)連接到因特網(wǎng)或 LAN、服務(wù)器或連接 LAN 和因特網(wǎng)的代理服務(wù)器,則該系統(tǒng)有利于在 Linux

  系統(tǒng)上更好地控制 IP 信息包過濾和防火墻設(shè)置。netfilter/iptables IP

  信息包過濾系統(tǒng)是一種功能強(qiáng)大的工具,可用于添加、編輯和除去規(guī)則,這些規(guī)則是在做信息包過濾決定時,防火墻所遵循和組成的規(guī)則。這些規(guī)則存儲在專用的信息包過濾表中,而這些表集成在 中國網(wǎng)管論壇

  Linux

  內(nèi)核中。在信息包過濾表中,規(guī)則被分組放在我們所謂的鏈(chain)中。下面馬上會周詳討論這些規(guī)則及怎么建立這些規(guī)則并將他們分組在鏈中。

  :

  -F :清除所有的已訂定的規(guī)則;

  -X :殺掉所有使用者建立的表(table)。

  -Z :將所有的鏈(chain) 的計(jì)數(shù)和流量統(tǒng)計(jì)都?xì)w零。

  (2)建立政策

  #ip6tables [-t tables] [-P] [INPUT,OUTPUT,FORWARD,

  PREROUTING,OUTPUT,POSTROUTING] [ACCEPT,DROP] [-p TCP,UDP] [-s IP/network]

  [?sport ports] [-d IP/network] [?dport ports] -j

  參數(shù)說明:

  -t :定義表( table)。

  tables :table表的名稱,

  -P :定義政策( Policy )。

  INPUT :數(shù)據(jù)包為輸入主機(jī)的方向;

  OUTPUT :數(shù)據(jù)包為輸出主機(jī)的方向;

  FORWARD :數(shù)據(jù)包為不進(jìn)入主機(jī)而向外再傳輸出去的方向;

  PREROUTING :在進(jìn)入路由之前進(jìn)行的工作;

  OUTPUT :數(shù)據(jù)包為輸出主機(jī)的方向; bitscn.com

  POSTROUTING :在進(jìn)入路由之后進(jìn)行的工作。

  TCP :TCP協(xié)議的數(shù)據(jù)包。

  UDP :UDP協(xié)議的數(shù)據(jù)包;

  -s :來源數(shù)據(jù)包的 IP 或是網(wǎng)絡(luò)。

  ?sport :來源數(shù)據(jù)包的端口(

  port)號。

  -d :目標(biāo)主機(jī)的 IP 或是網(wǎng)絡(luò)。

  ?dport :目標(biāo)主機(jī)端口的(port)號。

  ACCEPT :接受該數(shù)據(jù)包。

  DROP :丟棄數(shù)據(jù)包。

 ?。?) 范例:

  1、允許ICMPv6數(shù)據(jù)包進(jìn)入主機(jī)(即允許Ping主機(jī)Ipv6地址):

  #/sbin/ip6tables -A INPUT -i sit+ -p icmpv6 -j ACCEPT

  2、允許ICMPv6數(shù)據(jù)包從主機(jī)輸出: www_itmop.com

  # ip6tables -A OUTPUT -o sit+ -p icmpv6 -j ACCEPT

  3、允許使用IP地址是3ffe:ffff:100::1/128數(shù)據(jù)使用SSH

  # ip6tables -A INPUT -i sit+ -p tcp -s 3ffe:ffff:100::1/128 ?sport 512:65535

  ? ?dport 22 -j ACCEPT

  SSH的英文全稱是Secure SHell。通過使用SSH,你能把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密,這樣"中間服務(wù)器"這種攻擊方式就不可能實(shí)現(xiàn)了,而且也能夠防止DNS和IP欺騙。更有一個 額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的,所以能加快傳輸?shù)乃俣?。SSH有非常多功能,他既能代替telnet,又能為ftp、pop、甚至ppp提供一個 安全的"通道"。SSH綁定在端口22上,其連接采用協(xié)商方式使用RSA加密。身份鑒別完成之后,后面的所有流量都使用IDEA進(jìn)行加密。 SSH(Secure Shell)程式能通過網(wǎng)絡(luò)登錄到遠(yuǎn)程主機(jī)并執(zhí)行命令。SSH的加密隧道保護(hù)的只是中間傳輸?shù)陌踩?,使得所有通常的嗅探工具軟件無法獲取發(fā)送的內(nèi)容。 www.bitsCN.com

  IPv6網(wǎng)絡(luò)的安全工具

  Nmap是在免費(fèi)軟件基金會的GNU

  General Public License (GPL)下發(fā)布的,由Fyodor進(jìn)行研發(fā)和維護(hù),可從www.insecure.org/nmap 站點(diǎn)上免費(fèi)下載。nmap是一款運(yùn)行在單一主機(jī)和大型網(wǎng)絡(luò)情 況下的優(yōu)秀端口掃描工具,具有高速、秘密、能繞過防火墻等特點(diǎn)。他支持多種協(xié)議,如TCP、UDP、ICMP等。nmap也具有非常多高性能和可靠性的特 點(diǎn),如動態(tài)延時計(jì)算、包超時重發(fā)、并行端口掃描、通過并行ping6探測主機(jī)是否當(dāng)?shù)?。他?.10版本開始支持IPv6。下載鏈 接:http://gd.tuwien.ac.at/infosys/security/nmap/nmap-3.48.tgz

  nmap 安裝編譯過程如下:

  #tar zxvf nmap-3.48.tgz

 ?。d nmap-3.48 bbs.itmop.com網(wǎng)管論壇

  # ./configure;# make;#make install

  語法相當(dāng)簡單:nmap的不同選項(xiàng)和-s標(biāo)志組成了不同的掃描類型,Ipv6版本的nmap支持兩種掃描方式:

 ?。璼T 即Port

  Scanning,通常稱為端口掃描。

 ?。璼S即TCP SYN,通常稱為半研發(fā)掃描。

  nmap掃描端口實(shí)例:

  # nmap -6 -sT

  ::1

  Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at

  2003-12-23 11:55 UTC

  All 1657 scanned ports on ::1 are: closed

  Nmap run

  completed ? 1 IP address (1 host up) scanned in 20.521 seconds

  輸出的掃描報(bào)告顯示Nmap掃描了1657個端口,一個是打開的其他是關(guān)閉的。

  注意事項(xiàng):如果你打算在IPv6網(wǎng)絡(luò)下使用Nmap,下面幾點(diǎn)經(jīng)驗(yàn)可能對你有幫助:

  ● 避免誤解。不要隨意選擇測試Nmap的掃描目標(biāo)。許多單位把端口掃描視為惡意行為,所以測試Nmap最佳在內(nèi)部網(wǎng)絡(luò)進(jìn)行。如有必要,應(yīng)該告訴同事你正在試驗(yàn)端口掃描,因?yàn)閽呙杩赡芤l(fā)IDS警報(bào)及其他網(wǎng)絡(luò)問題。 bbs.itmop.com網(wǎng)管論壇

  ●

  建立安全基準(zhǔn)。在Nmap的幫助下加固網(wǎng)絡(luò)、搞清晰哪些系統(tǒng)和服務(wù)可能受到攻擊之后,下一步是從這些已知的系統(tǒng)和服務(wù)出發(fā)建立一個安全基準(zhǔn),以后如果要啟用新的服務(wù)或服務(wù)器,就能方便地根據(jù)這個安全基準(zhǔn)執(zhí)行。

  如果你想查看在Ipv6協(xié)議網(wǎng)絡(luò)工作的Linux程式能訪問:http://www.netcore.fi/pekkas/linux/ipv6/

  這里能找到非常多有IPv6支持的RPM包。

  表1 Linux網(wǎng)絡(luò)IPv4和IPv6功能對照

  IPv4

  IPv4的回路地址為127.0.0.1

  來源位址和目的位址長度都為 32 位 (4 字節(jié))。IPv4可提供4294967296個地址。 bitscn.com

  IPv4使用Internet群組管理通信協(xié)議(IGMP)管理本機(jī)子網(wǎng)絡(luò)群組成員身份。

關(guān)鍵詞標(biāo)簽:Linux,IPv6

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會!了解交換機(jī)控制端口流量