Prüfen Sie als Best Practice für die Sicherheit, dass das Host-System IPv6-Weiterleitungen ablehnt. Wenn IP-Weiterleitung im System konfiguriert ist und es sich nicht um einen designierten Router handelt, kann diese verwendet werden, um die Netzwerksicherheit zu umgehen, indem ein Kommunikationspfad bereitgestellt wird, der nicht von Netzwerkgeräten gefiltert wird.
Prozedur
- Führen Sie den Befehl # grep [01] /proc/sys/net/ipv6/conf/*/forwarding|egrep "default|all" aus, um zu überprüfen, ob der Host IPv6-Weiterleitung ablehnt.
- Konfigurieren Sie das Host-System so, dass IPv6-Weiterleitung abgelehnt wird.
- Öffnen Sie die Datei /etc/sysctl.conf, um das Host-System zu konfigurieren.
- Wenn die Werte nicht auf
0
festgelegt sind, fügen Sie die folgenden Einträge zur Datei hinzu, oder aktualisieren Sie die vorhandenen Einträge entsprechend. Legen Sie den Wert auf0
fest.net.ipv6.conf.all.forwarding=0 net.ipv6.conf.default.forwarding=0
- Speichern Sie die Änderungen, und schließen Sie die Datei.
- Führen Sie
# sysctl -p
aus, um die Konfiguration zu übernehmen.