我的 VPS 主机可以免费为我分配一小块 IPv6 地址,而且我也想在我的小型网站/开发 VPS 上尝试一下。
我主要关心的是我必须做什么才能真正地以安全的方式利用它们。
大多数服务(即 SSH、Apache)是否根本无法读取 IPv6 传入地址,或者它们是否需要重新编译或模块?
我的防火墙(iptables 或当前的其他东西)是否能够阻止这两种类型的地址的端口并且开箱即用?
我的内核比较新,我相信 Debian (AMD64) 上的内核是 2.6.39.3
感谢您对此提供的任何见解或建议,我的 DNS 提供商是 HE.NET,它应该能够提供 IPv6 记录(我真的只是想为了好玩而做 ipv6.mysite.com)如果那是我所需要的。
答案1
我的经验是大多数应用程序都可以正常工作(最多,你可能需要说“是的,也在 IPv6 上监听”,但大多数应用程序默认都会这样做)。
就安全性而言,最重要的是要记住,您为限制 IPv4 数据包流量所做的任何操作都需要在 IPv6 中重新创建。大多数人将其归结为“确保您的防火墙阻止 IPv6 和 IPv4”,但除了防火墙之外,还可能还有其他东西在执行阻止(hosts.allow/deny、应用程序中的 ACL 等),您需要确保所有这些都有效。
如果您进行任何监控,您将需要确保您同时监控 IPv4 和 IPv6 版本,以确保您没有为 IPv6 客户端提供降级的服务,并确保任何日志分析工具都能理解 IPv6 地址。
我暂时没有其他想法。享受全新的互联网吧。
答案2
运行 Web 服务器时,您必须了解需要使用哪些规则(如果有的话)来限制通过 IPv4 地址对虚拟主机或路径的访问。
例如,我在我的主机上运行 VPN,这样我就可以通过内联网访问私人网站,包括支持phpmyadminMySQL 等应用程序。然而,在启用 IPv6 时,我无意中打开了一条路由,phpmyadmin随后得到了被攻陷由于该版本中存在一个已知的漏洞。