確認 VMware 主機拒絕接受路由器通告和 ICMP 重新導向 (除非系統運作需要接受)。

執行這項作業的原因和時機

IPv6 可讓系統透過自動使用網路中的資訊來設定其網路裝置。從安全性角度而言,與以未經驗證的方式接受網路中的資訊相比,手動設定重要組態資訊更為可取。

程序

  1. VMware 應用裝置主機上執行 # grep [01] /proc/sys/net/ipv6/conf/*/accept_ra|egrep "default|all" 命令,以確認這些主機拒絕路由器通告。

    如果主機設定為拒絕 IPv6 路由器通告,則此命令會傳回值 0:

    /proc/sys/net/ipv6/conf/all/accept_ra:0
    /proc/sys/net/ipv6/conf/default/accept_ra:0

    如果主機已正確設定,則無需進行進一步動作。

  2. 如果需要將主機設定為拒絕 IPv6 路由器通告,請在文字編輯器中開啟 /etc/sysctl.conf 檔案。
  3. 檢查下列項目。
    net.ipv6.conf.all.accept_ra=0
    net.ipv6.conf.default.accept_ra=0

    如果這些項目不存在或是其值未設定為零,請新增這些項目或相應地更新現有項目。

  4. 儲存您進行的任何變更並關閉檔案。