Can I disable IPv6?

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
14 messages Options
Reply | Threaded
Open this post in threaded view
|

Can I disable IPv6?

Grigory Klyuchnikov
Здравствуйте,

Подскажите
1) можно ли в OpenBSD отключить функциональность IPv6 без пересборки ядра
(типа как FreBSD ipv6_enable="NO" в /etc/rc.conf)?

2) в /etc/rc.conf находится полный список опций? если нет, где их можно
посмотреть?

Спасибо.
Григорий.

--
Regards,
Grigory Klyuchnikov


Reply | Threaded
Open this post in threaded view
|

Re: Can I disable IPv6?

Anton Maksimenkov
Hi, Grigory.

> 1) можно ли в OpenBSD отключить функциональность IPv6 без пересборки ядра
> (типа как FreBSD ipv6_enable="NO" в /etc/rc.conf)?
нет, но можно с помощью PF закрыть конкретно inet6.

> 2) в /etc/rc.conf находится полный список опций? если нет, где их можно
> посмотреть?
полный. в том смысле, что всё, что запускается из /etc/rc и имеет
настраиваемые "опции", содержит начальные значения этих "опций" в
/etc/rc.conf. Соответственно, стоит посмотреть в /etc/rc, для того
чтобы составить более подробное впечатление.

--
engineer


Reply | Threaded
Open this post in threaded view
|

Re: Can I disable IPv6?

Grigory Klyuchnikov
Hi,

Спасибо за ответ. А исходники ядра только на CVS, пакета с исходниками нет?

И еще - в FAQе говорится, что перебирать ядро не очень рекомендуется и это
типа вам ничего не даст. Вопрос - стоит перебрать ядро, чтобы отключить IPv6
или лучше воспользоваться PF? Что посоветуете?

Григорий.

[hidden email] wrote:

>>1) можно ли в OpenBSD отключить функциональность IPv6 без пересборки ядра
>>(типа как FreBSD ipv6_enable="NO" в /etc/rc.conf)?
>>    
>>
>нет, но можно с помощью PF закрыть конкретно inet6.
>  
>
Regards,
Grigory Klyuchnikov


Reply | Threaded
Open this post in threaded view
|

RE: Can I disable IPv6?

Aleksei Bebinov
С смысле не даст?
Оно станет меньше - это как минимум.
И отрубать IPV6 я думаю лучше в ядре.

> -----Original Message-----
> From: Grigory Klyuchnikov [mailto:[hidden email]]
> Sent: Friday, November 25, 2005 1:40 PM
> To: [hidden email]
> Subject: Re: Can I disable IPv6?
>
> Hi,
>
> Спасибо за ответ. А исходники ядра только на CVS, пакета с
> исходниками нет?
>
> И еще - в FAQе говорится, что перебирать ядро не очень
> рекомендуется и это типа вам ничего не даст. Вопрос - стоит
> перебрать ядро, чтобы отключить IPv6 или лучше
> воспользоваться PF? Что посоветуете?
>
> Григорий.
>
> [hidden email] wrote:
>
> >>1) можно ли в OpenBSD отключить функциональность IPv6 без
> пересборки
> >>ядра (типа как FreBSD ipv6_enable="NO" в /etc/rc.conf)?
> >>    
> >>
> >нет, но можно с помощью PF закрыть конкретно inet6.
> >  
> >
> Regards,
> Grigory Klyuchnikov
>
>
>
>


Reply | Threaded
Open this post in threaded view
|

Re[2]: Can I disable IPv6?

Anton Maksimenkov
Hi, Aleksei.

> С смысле не даст?
> Оно станет меньше - это как минимум.
> И отрубать IPV6 я думаю лучше в ядре.
Не надо так. Во-первых, основная рекомендация (2form@ sorry) всё таки
ядро без вынужденных случаев не трогать. Отрубание IPv6 с
необъясненными причинами к ним не относится. Да и все эти причины
решаются одной строкой в pf.conf

block quick inet6 all

что к тому же проще. Во-вторых, на компоненты IPv6 многое завязано и
вырезание его приведет к непредсказуемым последствиям в виде сбоев и
неработоспособности чего угодно.
Из личного опыта: перестал работать IPSec. Угробил много дней, от того
что привык "обрезать" ядро и уже забыл, что оно "ненормальное".

С тех пор довольствуюсь GENERIC, и только на паре сильно нагруженных
машин (WWW-траффик порядка 30 Мбит/с) увеличил количество памяти,
которое ядро использует под свои нужды. УВЕЛИЧИЛ ЧИСЛО а не ВЫРЕЗАЛ
ЧАСТЬ ядра.

2Aleksei Bebinov: если уж потянет на "мимнимизацию", то есть более
действенные и безопасные для работоспособности, как мне думается,
варианты - убрать DIAGNOSTIC, добавить DUMMY_NOPS.

>> Спасибо за ответ. А исходники ядра только на CVS, пакета с
>> исходниками нет?
Исходники ядра так же, на ФТП, пакет sys.tar.gz.

>> И еще - в FAQе говорится, что перебирать ядро не очень
>> рекомендуется и это типа вам ничего не даст. Вопрос - стоит
>> перебрать ядро, чтобы отключить IPv6 или лучше
>> воспользоваться PF? Что посоветуете?
PF

--
engineer


Reply | Threaded
Open this post in threaded view
|

Re: Can I disable IPv6?

Grigory Klyuchnikov
Hi,

[hidden email] wrote:

>Не надо так. Во-первых, основная рекомендация (2form@ sorry) всё таки
>ядро без вынужденных случаев не трогать. Отрубание IPv6 с
>необъясненными причинами к ним не относится. Да и все эти причины
>решаются одной строкой в pf.conf
>
>block quick inet6 all
>  
>
в этом случае в остальных правилах фильтрации обязательно ли указывать
inet, чтобы предотвратить их отработку для inet6, например

block quick all
pass in quick on rl0 proto tcp from any to $http_server port 80 keep state

пакет типа src = ::ffff:217.172.186.91 dst = ::ffff:$http_server попадет под
правило "pass"?

Григорий.

Regards,
Grigory Klyuchnikov


Reply | Threaded
Open this post in threaded view
|

Re: Can I disable IPv6?

Dmitry V. Kustov
On Fri, 25 Nov 2005 15:38:03 +0300, Grigory Klyuchnikov <[hidden email]>  
wrote:

>>
>> block quick inet6 all
>>
> в этом случае в остальных правилах фильтрации обязательно ли указывать
> inet, чтобы предотвратить их отработку для inet6, например
>
> block quick all
> pass in quick on rl0 proto tcp from any to $http_server port 80 keep  
> state
>
> пакет типа src = ::ffff:217.172.186.91 dst = ::ffff:$http_server попадет  
> под
> правило "pass"?
>
Если в начале стоит
block quick inet6 all
то дальше inet6 уже не пройдёт.


Reply | Threaded
Open this post in threaded view
|

Re: Can I disable IPv6?

Eldar N. Novruzov
In reply to this post by Grigory Klyuchnikov
Grigory Klyuchnikov wrote

>>
> в этом случае в остальных правилах фильтрации обязательно ли указывать
> inet, чтобы предотвратить их отработку для inet6, например
>
> block quick all

в данном случае вы блокируете ВЕСЬ трафик!!!

> pass in quick on rl0 proto tcp from any to $http_server port 80 keep
> state
>
и это правило уже не будет работать.

block quick inet6 all


Reply | Threaded
Open this post in threaded view
|

Re: Can I disable IPv6?

Grigory Klyuchnikov
Да, спасибо, я понял...

Eldar N. Novruzov wrote:

> Grigory Klyuchnikov wrote
>
>>>
>> в этом случае в остальных правилах фильтрации обязательно ли указывать
>> inet, чтобы предотвратить их отработку для inet6, например
>>
>> block quick all
>
>
> в данном случае вы блокируете ВЕСЬ трафик!!!
>
>> pass in quick on rl0 proto tcp from any to $http_server port 80 keep
>> state
>>
> и это правило уже не будет работать.
>
> block quick inet6 all
>


Reply | Threaded
Open this post in threaded view
|

RE: Can I disable IPv6?

Aleksei Bebinov
Мне интересно - у Вас провйдер поддерживат IPV6 уже?

> -----Original Message-----
> From: Grigory Klyuchnikov [mailto:[hidden email]]
> Sent: Tuesday, November 29, 2005 1:07 PM
> To: [hidden email]
> Subject: Re: Can I disable IPv6?
>
> Да, спасибо, я понял...
>
> Eldar N. Novruzov wrote:
>
> > Grigory Klyuchnikov wrote
> >
> >>>
> >> в этом случае в остальных правилах фильтрации обязательно ли
> >> указывать inet, чтобы предотвратить их отработку для
> inet6, например
> >>
> >> block quick all
> >
> >
> > в данном случае вы блокируете ВЕСЬ трафик!!!
> >
> >> pass in quick on rl0 proto tcp from any to $http_server
> port 80 keep
> >> state
> >>
> > и это правило уже не будет работать.
> >
> > block quick inet6 all
> >
>
>
>
>


Reply | Threaded
Open this post in threaded view
|

Re: Can I disable IPv6?

Grigory Klyuchnikov
Провайдер - нет, но у нас есть туннельное соединение.

Aleksei Bebinov wrote:

>Мне интересно - у Вас провйдер поддерживат IPV6 уже?
>  
>
--
С уважением,
Григорий Ключников


Reply | Threaded
Open this post in threaded view
|

Re[2]: Can I disable IPv6?

Yuri V. Schefer
In reply to this post by Aleksei Bebinov
Здравствуйте, Aleksei.

Вы писали 29 ноября 2005 г., 12:32:10:

> Мне интересно - у Вас провйдер поддерживат IPV6 уже?

А смысл? Как сообщили ещё в 2004 году на RIPE Regional Meeting, IPv4
пространства при текущем экономном использовании хватит ещё на 15
лет... Единственное, что не только в самих адресах дело, но и в
безопасности протокола. Пока IPv6, в основном, играются. Пентагон
вроде собрался к 2008 году перейти на IPv6.

--
WBR, Yuri
SHEF-RIPE YSH-RIPN


Reply | Threaded
Open this post in threaded view
|

Re: Can I disable IPv6?

Grigory Klyuchnikov
Здравствуйте, Yuri!

Yuri V. Schefer wrote:

>А смысл? Как сообщили ещё в 2004 году на RIPE Regional Meeting, IPv4
>пространства при текущем экономном использовании хватит ещё на 15
>лет... Единственное, что не только в самих адресах дело, но и в
>безопасности протокола. Пока IPv6, в основном, играются. Пентагон
>вроде собрался к 2008 году перейти на IPv6.
>  
>
Смысл как раз - играться, в Европе и США уже существуют работающие
IPv6 сети (не 6Bone) и в Москве есть несколько провайдеров, предоставляющих
IPv6 и имеющих подключение к IPv6 Internet (в основном это академические -
FREEnet, например, http://www.free.net/). Можно сделать двухстековые HTTP,
DNS, SMTP, подключится пока по туннелю к IPv6 сети - и вперед -
"Наша организация уже поддерживает IPv6!" :) Вот пока и весь смысл, зато
уже отлаженные сервисы и опыт внедрения, опять же для разработчиков -
возможность отладки и т.п.
А реальное внедрение IPv6 в России светит не скоро, хотя есть провайдеры
с лейбой IPv6 в списке услуг, но в смысле - "мы готовы на IPv6, как
скажут нужно - мы сможем предоставить"...

--
С уважением,
Григорий Ключников


Reply | Threaded
Open this post in threaded view
|

RE: Re[2]: Can I disable IPv6?

Aleksei Bebinov
In reply to this post by Yuri V. Schefer
У нас (Киргизия)  вроде тока посольство Америки работает по IPV6 и то по
своему спутниковому каналу.....
 

> -----Original Message-----
> From: Yuri V. Schefer [mailto:[hidden email]]
> Sent: Tuesday, November 29, 2005 1:41 PM
> To: [hidden email]
> Subject: Re[2]: Can I disable IPv6?
>
> Здравствуйте, Aleksei.
>
> Вы писали 29 ноября 2005 г., 12:32:10:
>
> > Мне интересно - у Вас провйдер поддерживат IPV6 уже?
>
> А смысл? Как сообщили ещё в 2004 году на RIPE Regional
> Meeting, IPv4 пространства при текущем экономном
> использовании хватит ещё на 15 лет... Единственное, что не
> только в самих адресах дело, но и в безопасности протокола.
> Пока IPv6, в основном, играются. Пентагон вроде собрался к
> 2008 году перейти на IPv6.
>
> --
> WBR, Yuri
> SHEF-RIPE YSH-RIPN
>
>
>
>