Can I disable IPv6?

Здравствуйте,

Подскажите
1) можно ли в OpenBSD отключить функциональность IPv6 без пересборки ядра
(типа как FreBSD ipv6_enable="NO" в /etc/rc.conf)?

2) в /etc/rc.conf находится полный список опций? если нет, где их можно
посмотреть?

Спасибо.
Григорий.

--
Regards,
Grigory Klyuchnikov

Hi, Grigory.

> 1) можно ли в OpenBSD отключить функциональность IPv6 без пересборки ядра
> (типа как FreBSD ipv6_enable="NO" в /etc/rc.conf)?
нет, но можно с помощью PF закрыть конкретно inet6.

> 2) в /etc/rc.conf находится полный список опций? если нет, где их можно
> посмотреть?
полный. в том смысле, что всё, что запускается из /etc/rc и имеет
настраиваемые "опции", содержит начальные значения этих "опций" в
/etc/rc.conf. Соответственно, стоит посмотреть в /etc/rc, для того
чтобы составить более подробное впечатление.

--
engineer

Hi,

Спасибо за ответ. А исходники ядра только на CVS, пакета с исходниками нет?

И еще - в FAQе говорится, что перебирать ядро не очень рекомендуется и это
типа вам ничего не даст. Вопрос - стоит перебрать ядро, чтобы отключить IPv6
или лучше воспользоваться PF? Что посоветуете?

Григорий.

[hidden email] wrote:

>>1) можно ли в OpenBSD отключить функциональность IPv6 без пересборки ядра
>>(типа как FreBSD ipv6_enable="NO" в /etc/rc.conf)?
>>    
>>
>нет, но можно с помощью PF закрыть конкретно inet6.
>  
>
Regards,
Grigory Klyuchnikov

С смысле не даст?
Оно станет меньше - это как минимум.
И отрубать IPV6 я думаю лучше в ядре.

Hi, Aleksei.

> С смысле не даст?
> Оно станет меньше - это как минимум.
> И отрубать IPV6 я думаю лучше в ядре.
Не надо так. Во-первых, основная рекомендация (2form@ sorry) всё таки
ядро без вынужденных случаев не трогать. Отрубание IPv6 с
необъясненными причинами к ним не относится. Да и все эти причины
решаются одной строкой в pf.conf

block quick inet6 all

что к тому же проще. Во-вторых, на компоненты IPv6 многое завязано и
вырезание его приведет к непредсказуемым последствиям в виде сбоев и
неработоспособности чего угодно.
Из личного опыта: перестал работать IPSec. Угробил много дней, от того
что привык "обрезать" ядро и уже забыл, что оно "ненормальное".

С тех пор довольствуюсь GENERIC, и только на паре сильно нагруженных
машин (WWW-траффик порядка 30 Мбит/с) увеличил количество памяти,
которое ядро использует под свои нужды. УВЕЛИЧИЛ ЧИСЛО а не ВЫРЕЗАЛ
ЧАСТЬ ядра.

2Aleksei Bebinov: если уж потянет на "мимнимизацию", то есть более
действенные и безопасные для работоспособности, как мне думается,
варианты - убрать DIAGNOSTIC, добавить DUMMY_NOPS.

>> Спасибо за ответ. А исходники ядра только на CVS, пакета с
>> исходниками нет?
Исходники ядра так же, на ФТП, пакет sys.tar.gz.

>> И еще - в FAQе говорится, что перебирать ядро не очень
>> рекомендуется и это типа вам ничего не даст. Вопрос - стоит
>> перебрать ядро, чтобы отключить IPv6 или лучше
>> воспользоваться PF? Что посоветуете?
PF

--
engineer

Hi,

[hidden email] wrote:

>Не надо так. Во-первых, основная рекомендация (2form@ sorry) всё таки
>ядро без вынужденных случаев не трогать. Отрубание IPv6 с
>необъясненными причинами к ним не относится. Да и все эти причины
>решаются одной строкой в pf.conf
>
>block quick inet6 all
>  
>
в этом случае в остальных правилах фильтрации обязательно ли указывать
inet, чтобы предотвратить их отработку для inet6, например

block quick all
pass in quick on rl0 proto tcp from any to $http_server port 80 keep state

пакет типа src = ::ffff:217.172.186.91 dst = ::ffff:$http_server попадет под
правило "pass"?

Григорий.

Regards,
Grigory Klyuchnikov

On Fri, 25 Nov 2005 15:38:03 +0300, Grigory Klyuchnikov <[hidden email]>  
wrote:
Если в начале стоит
block quick inet6 all
то дальше inet6 уже не пройдёт.

Grigory Klyuchnikov wrote

>>
> в этом случае в остальных правилах фильтрации обязательно ли указывать
> inet, чтобы предотвратить их отработку для inet6, например
>
> block quick all

в данном случае вы блокируете ВЕСЬ трафик!!!

> pass in quick on rl0 proto tcp from any to $http_server port 80 keep
> state
>
и это правило уже не будет работать.

block quick inet6 all

Да, спасибо, я понял...

Eldar N. Novruzov wrote:

Мне интересно - у Вас провйдер поддерживат IPV6 уже?

Провайдер - нет, но у нас есть туннельное соединение.

Aleksei Bebinov wrote:

>Мне интересно - у Вас провйдер поддерживат IPV6 уже?
>  
>
--
С уважением,
Григорий Ключников

Здравствуйте, Aleksei.

Вы писали 29 ноября 2005 г., 12:32:10:

> Мне интересно - у Вас провйдер поддерживат IPV6 уже?

А смысл? Как сообщили ещё в 2004 году на RIPE Regional Meeting, IPv4
пространства при текущем экономном использовании хватит ещё на 15
лет... Единственное, что не только в самих адресах дело, но и в
безопасности протокола. Пока IPv6, в основном, играются. Пентагон
вроде собрался к 2008 году перейти на IPv6.

--
WBR, Yuri
SHEF-RIPE YSH-RIPN

Здравствуйте, Yuri!

Yuri V. Schefer wrote:

>А смысл? Как сообщили ещё в 2004 году на RIPE Regional Meeting, IPv4
>пространства при текущем экономном использовании хватит ещё на 15
>лет... Единственное, что не только в самих адресах дело, но и в
>безопасности протокола. Пока IPv6, в основном, играются. Пентагон
>вроде собрался к 2008 году перейти на IPv6.
>  
>
Смысл как раз - играться, в Европе и США уже существуют работающие
IPv6 сети (не 6Bone) и в Москве есть несколько провайдеров, предоставляющих
IPv6 и имеющих подключение к IPv6 Internet (в основном это академические -
FREEnet, например, http://www.free.net/). Можно сделать двухстековые HTTP,
DNS, SMTP, подключится пока по туннелю к IPv6 сети - и вперед -
"Наша организация уже поддерживает IPv6!" :) Вот пока и весь смысл, зато
уже отлаженные сервисы и опыт внедрения, опять же для разработчиков -
возможность отладки и т.п.
А реальное внедрение IPv6 в России светит не скоро, хотя есть провайдеры
с лейбой IPv6 в списке услуг, но в смысле - "мы готовы на IPv6, как
скажут нужно - мы сможем предоставить"...

--
С уважением,
Григорий Ключников

У нас (Киргизия)  вроде тока посольство Америки работает по IPV6 и то по
своему спутниковому каналу.....