|
|
| (16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| '''IPv6/Daemons''' - Hinweise zu IPv6 kompatiblen [[Daemonen]] | | '''IPv6/Daemons''' - Hinweise zu IPv6 kompatiblen [[Daemonen]] |
|
| |
| == Beschreibung == | | == Beschreibung == |
| | | {| class="wikitable sortable options" |
| | | |- |
| | ! Dienst !! !! Beschreibung |
| | |- |
| | | BIND || Berkeley Internet Name Domain (daemon ”named”) || [[IPv6/BIND]] |
| | |- |
| | | [[Xinetd]] || Internet super daemon || [[xinetd]] |
| | |- |
| | | Webserver Apache (httpd2) || [[Webserver Apache (httpd2)]] || |
| | |- |
| | | Router Advertisement Daemon (radvd) || [[Router Advertisement Daemon]] || |
| | |- |
| | | Dynamic Host Configuration v6 Server (dhcp6s) || [[dhcp6s]] || |
| | |- |
| | | ISC Dynamic Host Configuration Server (dhcpd) || [[dhcpd]] || |
| | |- |
| | | tcp_wrapper || [[Tcp wrapper]] || |
| | |- |
| | | vsftpd || [[Vsftpd]] || |
| |- | | |- |
| | BIND || Berkeley Internet Name Domain (BIND) daemon ”named” || [[IPv6/BIND]] | | | proftpd || [[Proftpd]] || |
| |- | | |- |
| | |} |
|
| |
|
| == Internet super daemon (xinetd) ==
| | ; Andere Daemons |
| [[Xinetd]]
| | * Seit einiger Zeit ist dies meist einfach, suchen Sie einfach nach einer Kommandozeilen-Option oder einer Konfigurationsvariable, um das Lauschen an IPv6-Adressen zu aktivieren. |
| | | * Schauen Sie dazu in den Manual-Seiten des Daemons oder in den entsprechenden FAQs nach. |
| == Webserver Apache2 (httpd2) ==
| | * Es kann allerdings durchaus sein, daß sich der Daemon nur an die IPv6-”any”-Adresse (::) binden läßt und kein dediziertes Binden an eine spezielle IPv6-Adresse möglich ist (das hängt von der Unterstützung des Programmierers ab). |
| [[Webserver Apache2 (httpd2)]]
| |
| | |
| == Router Advertisement Daemon (radvd) ==
| |
| [[Router Advertisement Daemon]]
| |
| | |
| == Dynamic Host Configuration v6 Server (dhcp6s) ==
| |
| [[dhcp6s]]
| |
| | |
| == ISC Dynamic Host Configuration Server (dhcpd) ==
| |
| ISC DHCP unterstützt IPv6 seit der Version 4.x.
| |
| | |
| === Konfiguration des ISC DHCP Server für IPv6 (dhcpd) ===
| |
| Es ist zu beachten, daß der ISC DHCP Server aktuell entweder IPv4 oder IPv6 bedienen kann, nicht beides, d.h. der Daemon muß zweimal gestartet werden (für IPv6 mit Option ”-6”) um beide Protokolle zu unterstützen.
| |
| | |
| ==== Einfache Configuration ====
| |
| Erstellen einer eigenen Konfigurationsdatei /etc/dhcp/dhcpd6.conf für den IPv6-Teil des dhcpd. Es ist zu beachten, daß der router natürlich eine Schnittstelle mit einer IPv6-Adresse aus dem definierten Subnetz konfiguriert haben muß.
| |
| | |
| Es ist zu beachten, dass die ”dhcp.client-id” nicht länger die MAC-Adresse ist, sondern eine per System eindeutige ID! ”dhcp6c” (siehe oben) benutzt die Datei /var/lib/dhcpv6/dhcp6c_duid (wird beim ersten Start erstellt, falls nicht vorhanden) als eindeutige ID. Es ist eine 14 Byte lange ID, welche mit einer 2 Byte Längeninformation startet (üblicherweise ”0x000e”):
| |
| | |
| | |
| === Benutzung ===
| |
| ==== dhcpd ====
| |
| Starte den Server im Vordergrund:
| |
| | |
| == tcp_wrapper ==
| |
| Mit der tcp_wrapper Programmbibliothek können Sie Ihre Dienste gegen Missbrauch schützen.
| |
| | |
| === Filter-Funktionalität ===
| |
| Sie können tcp_wrapper für folgende Zwecke einsetzen:
| |
| | |
| * Nach Source-Adressen filtern (IPv4 oder IPv6)
| |
| * Nach Benutzern filtern (benötigt einen aktiven ident Daemon auf der Client-Seite)
| |
| | |
| === Welches Programm benützt tcp_wrapper ===
| |
| Folgende Programme sind bekannt:
| |
| | |
| * Jeder Dienst, der durch den xinetd aufgerufen wird (und wenn der xinetd mit der tcp_wrapper Bibliothek kompiliert wurde)
| |
| * sshd (wenn der mit der tcp_wrapper Bibliothek kompiliert wurde)
| |
| | |
| === Anwendung ===
| |
| Der tcp_wrapper wird durch zwei Dateien konfiguriert und kontrolliert: /etc/hosts.allow sowie /etc/hosts.deny. Weitere Informationen finden Sie mit:
| |
| | |
| | |
| ==== Beispiel für /etc/hosts.allow ====
| |
| In dieser Datei wird ein Dienst pro Zeile eingetragen, der positiv gefiltert werden soll (d.h. Verbindungen werden erlaubt).
| |
| | |
| Achtung: es existieren fehlerhafte Implementierungen, welche folgende fehlerhafte IPv6-Netzwerk-Beschreibung unterstützen: [2001:0db8:100:200::/64]. Hoffentlich werden diese Versionen bald gefixt.
| |
| | |
| ==== Beispiel für /etc/hosts.deny ====
| |
| In dieser Datei werden alle Einträge negativ gefiltert. Und normalerweise sollen alle Verbindungen unterbunden werden:
| |
| | |
| Sie können bei Bedarf obige Standardzeile auch durch Folgende ersetzen, jedoch wird dadurch bei zu vielen Verbindungen in kurzer Zeitz eine DoS Angriff möglich (Last des Mailers sowie des Spool-Verzeichnisses). Ein logwatch ist somit wahrscheinlich die bessere Lösung.
| |
| | |
| | |
| === Protokollierung ===
| |
| Entsprechend der Syslog Daemon Konfiguration in der Datei /etc/syslog.conf protokolliert der tcp_wrapper normalerweise in die Datei /var/log/secure.
| |
| | |
| ==== Abgelehnte Verbindung ====
| |
| Das Logging einer abgelehnten IPv4-Verbindung zu einem durch den xinetd überwachten Daytime Dienst sieht wie folgt aus:
| |
| | |
| Das Logging einer abgelehnten IPv4-Verbindung zu einem durch den xinetd überwachten sshd Daemon (auf IPv4 und IPv6 auf Verbindungen wartend) sieht wie folgt aus:
| |
| | |
| | |
| ==== Akzeptierte Verbindung ====
| |
| Das Logging einer akzeptierten IPv4-Verbindung zu einem durch den xinetd überwachten Daytime Dienst sieht wie folgt aus:
| |
| | |
| Das Logging einer akzeptierten IPv4-Verbindung zu einem auf zwei Ports hörenden sshd sieht wie folgt aus:
| |
| | |
| == vsftpd ==
| |
| === Auf IPv6-Adressen lauschen ===
| |
| Editiere die Konfigurationsdatei, üblicherweise /etc/vsftpd/vsftpd.conf, und setze die Option für das ”listen” wie folgt:
| |
| | |
| Mehr ist nicht zu tun.
| |
| | |
| == proftpd ==
| |
| === Auf IPv6-Adressen lauschen ===
| |
| Editiere die Konfigurationsdatei, üblicherweise /etc/proftpd.conf, allerdings ist hier zu beachten, daß dies in der Konfigurationsart virtueller Host nicht 100% logisch ist
| |
| | |
| Mehr ist nicht zu tun.
| |
| | |
| == Andere Daemons ==
| |
| Seit einiger Zeit ist dies meist einfach, suchen Sie einfach nach einer Kommandozeilen-Option oder einer Konfigurationsvariable, um das Lauschen an IPv6-Adressen zu aktivieren. Schauen Sie dazu in den Manual-Seiten des Daemons oder in den entsprechenden FAQs nach. Es kann allerdings durchaus sein, daß sich der Daemon nur an die IPv6-”any”-Adresse (::) binden läßt und kein dediziertes Binden an eine spezielle IPv6-Adresse möglich ist (das hängt von der Unterstützung des Programmierers ab). | |
|
| |
|
| <noinclude> | | <noinclude> |
| Zeile 100: |
Zeile 35: |
| === Siehe auch === | | === Siehe auch === |
| {{Special:PrefixIndex/{{BASEPAGENAME}}}} | | {{Special:PrefixIndex/{{BASEPAGENAME}}}} |
| ==== Dokumentation ====
| |
| ==== Links ==== | | ==== Links ==== |
| ===== Projekt =====
| |
| ===== Weblinks ===== | | ===== Weblinks ===== |
|
| |
|
IPv6/Daemons - Hinweise zu IPv6 kompatiblen Daemonen
Beschreibung
- Andere Daemons
- Seit einiger Zeit ist dies meist einfach, suchen Sie einfach nach einer Kommandozeilen-Option oder einer Konfigurationsvariable, um das Lauschen an IPv6-Adressen zu aktivieren.
- Schauen Sie dazu in den Manual-Seiten des Daemons oder in den entsprechenden FAQs nach.
- Es kann allerdings durchaus sein, daß sich der Daemon nur an die IPv6-”any”-Adresse (::) binden läßt und kein dediziertes Binden an eine spezielle IPv6-Adresse möglich ist (das hängt von der Unterstützung des Programmierers ab).
Anhang
Siehe auch
Links
Weblinks