En matière de sécurité, la meilleure pratique consiste à vérifier que le système refuse les paramètres de limite de sauts d'annonce du routeur IPv6 provenant d'une annonce du routeur, à moins que cela ne soit nécessaire. Le paramètre accept_ra_defrtr permet de contrôler si le système accepte les paramètres de limite de sauts provenant d'une annonce de routeur. Définissez-le sur 0 pour empêcher qu'un routeur ne modifie votre limite de sauts IPv6 par défaut pour les paquets sortants.

Procédure

  1. Exécutez la commande # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra_defrtr|egrep "default|all" pour vérifier que le système hôte refuse les paramètres de limite de sauts d'annonce du routeur IPv6.
  2. Si les valeurs ne sont pas définies sur 0, configurez le système hôte pour refuser les paramètres de limite de sauts d'annonce du routeur IPv6.
    1. Ouvrez le fichier /etc/sysctl.conf.
    2. Si les valeurs ne sont pas définies sur 0, ajoutez les entrées suivantes au fichier ou mettez à jour les entrées existantes en conséquence. Définissez la valeur sur 0.
      net.ipv6.conf.all.accept_ra_defrtr=0 
      net.ipv6.conf.default.accept_ra_defrtr=0 
      
    3. Enregistrez les modifications et fermez le fichier.