IPv6/Dienste
IPv6/Daemons - Hinweise zu IPv6 kompatiblen Daemonen
Beschreibung
|- | BIND || Berkeley Internet Name Domain (BIND) daemon ”named” || IPv6/BIND |-
Internet super daemon (xinetd)
Webserver Apache2 (httpd2)
Router Advertisement Daemon (radvd)
Dynamic Host Configuration v6 Server (dhcp6s)
ISC Dynamic Host Configuration Server (dhcpd)
tcp_wrapper
Mit der tcp_wrapper Programmbibliothek können Sie Ihre Dienste gegen Missbrauch schützen.
Filter-Funktionalität
Sie können tcp_wrapper für folgende Zwecke einsetzen:
- Nach Source-Adressen filtern (IPv4 oder IPv6)
- Nach Benutzern filtern (benötigt einen aktiven ident Daemon auf der Client-Seite)
Welches Programm benützt tcp_wrapper
Folgende Programme sind bekannt:
- Jeder Dienst, der durch den xinetd aufgerufen wird (und wenn der xinetd mit der tcp_wrapper Bibliothek kompiliert wurde)
- sshd (wenn der mit der tcp_wrapper Bibliothek kompiliert wurde)
Anwendung
Der tcp_wrapper wird durch zwei Dateien konfiguriert und kontrolliert: /etc/hosts.allow sowie /etc/hosts.deny. Weitere Informationen finden Sie mit:
Beispiel für /etc/hosts.allow
In dieser Datei wird ein Dienst pro Zeile eingetragen, der positiv gefiltert werden soll (d.h. Verbindungen werden erlaubt).
Achtung: es existieren fehlerhafte Implementierungen, welche folgende fehlerhafte IPv6-Netzwerk-Beschreibung unterstützen: [2001:0db8:100:200::/64]. Hoffentlich werden diese Versionen bald gefixt.
Beispiel für /etc/hosts.deny
In dieser Datei werden alle Einträge negativ gefiltert. Und normalerweise sollen alle Verbindungen unterbunden werden:
Sie können bei Bedarf obige Standardzeile auch durch Folgende ersetzen, jedoch wird dadurch bei zu vielen Verbindungen in kurzer Zeitz eine DoS Angriff möglich (Last des Mailers sowie des Spool-Verzeichnisses). Ein logwatch ist somit wahrscheinlich die bessere Lösung.
Protokollierung
Entsprechend der Syslog Daemon Konfiguration in der Datei /etc/syslog.conf protokolliert der tcp_wrapper normalerweise in die Datei /var/log/secure.
Abgelehnte Verbindung
Das Logging einer abgelehnten IPv4-Verbindung zu einem durch den xinetd überwachten Daytime Dienst sieht wie folgt aus:
Das Logging einer abgelehnten IPv4-Verbindung zu einem durch den xinetd überwachten sshd Daemon (auf IPv4 und IPv6 auf Verbindungen wartend) sieht wie folgt aus:
Akzeptierte Verbindung
Das Logging einer akzeptierten IPv4-Verbindung zu einem durch den xinetd überwachten Daytime Dienst sieht wie folgt aus:
Das Logging einer akzeptierten IPv4-Verbindung zu einem auf zwei Ports hörenden sshd sieht wie folgt aus:
vsftpd
Auf IPv6-Adressen lauschen
Editiere die Konfigurationsdatei, üblicherweise /etc/vsftpd/vsftpd.conf, und setze die Option für das ”listen” wie folgt:
Mehr ist nicht zu tun.
proftpd
Auf IPv6-Adressen lauschen
Editiere die Konfigurationsdatei, üblicherweise /etc/proftpd.conf, allerdings ist hier zu beachten, daß dies in der Konfigurationsart virtueller Host nicht 100% logisch ist
Mehr ist nicht zu tun.
Andere Daemons
Seit einiger Zeit ist dies meist einfach, suchen Sie einfach nach einer Kommandozeilen-Option oder einer Konfigurationsvariable, um das Lauschen an IPv6-Adressen zu aktivieren. Schauen Sie dazu in den Manual-Seiten des Daemons oder in den entsprechenden FAQs nach. Es kann allerdings durchaus sein, daß sich der Daemon nur an die IPv6-”any”-Adresse (::) binden läßt und kein dediziertes Binden an eine spezielle IPv6-Adresse möglich ist (das hängt von der Unterstützung des Programmierers ab).
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks