Stellen Sie sicher, dass die VMware-Hostmaschinen die Annahme von Routerankündigungen und ICMP-Redirects verweigern, sofern nicht anderweitig für den Systembetrieb benötigt.

Warum und wann dieser Vorgang ausgeführt wird

Mit IPv6 können Systeme ihre Netzwerkgeräte durch die automatische Verwendung von Informationen aus dem Netzwerk konfigurieren. Aus Sicherheitsgründen ist das manuelle Konfigurieren wichtiger Konfigurationsinformationen deren Annahme über das Netzwerk in einer nicht authentifizierten Art und Weise vorzuziehen.

Prozedur

  1. Führen Sie den Befehl # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra|egrep "default|all" auf den Hostmaschinen der VMware-Appliance aus, um sicherzustellen, dass sie die Routerankündigungen verweigern.

    Wenn die Hostmaschinen für die Verweigerung von IPv6 Routerankündigungen konfiguriert sind, gibt dieser Befehl Werte von 0 zurück:

    /proc/sys/net/ipv6/conf/all/accept_ra:0
    /proc/sys/net/ipv6/conf/default/accept_ra:0

    Wenn die Hostmaschinen ordnungsgemäß konfiguriert sind, ist keine weitere Aktion erforderlich.

  2. Wenn Sie eine Hostmaschine für die Verweigerung von IPv6-Routerankündigungen konfigurieren müssen, öffnen Sie die Datei /etc/sysctl.conf in einem Texteditor.
  3. Überprüfen Sie die folgenden Einträge.
    net.ipv6.conf.all.accept_ra=0
    net.ipv6.conf.default.accept_ra=0

    Wenn diese Einträge nicht vorhanden sind oder ihre Werte nicht auf Null gesetzt sind, fügen Sie die Einträge hinzu oder aktualisieren Sie die vorhandenen Einträge entsprechend.

  4. Speichern Sie alle von Ihnen vorgenommenen Änderungen und schließen Sie die Datei.