IPv6対応にしてみたけど地味な問題が残る


 まー先に言うとFail2banが問題なんすけどね。
 すっかり忘れてたけど、ふと思い出したのでIPv6対応を再開してみたのだ。

 さくらのVPSは多分もう全部IPv6対応な気がするので、素直に公式のCentOS6向け解説の通りに設定してみよう。
 せっかくメモも兼ねたblogなので、主に自分用としてまとめてみる。

 まずコンパネの「仮想サーバ情報」でIPアドレス確認。「詳細」を押すとゲートウェイとネームサーバのアドレスも出る。

 /etc/sysconfig/networkに、

NETWORKING_IPV6="yes"
IPV6_DEFAULTDEV="eth0"
IPV6_DEFAULTGW="ゲートウェイのアドレス"

のように追記。

 /etc/sysconfig/network-scripts/ifcfg-eth0に、

IPV6INIT="yes"
IPV6_ROUTER="no"
IPV6ADDR="アドレス"

のように追記。アンダーバーがあったり無かったりしてうざい。

 せっかくだから/etc/resolv.confにも、

nameserver ネームサーバのアドレス

とか追記しといたけど普通に要らないと思うし、公式の手順でも特に触ってない。いいんだ、半分実験用の鯖だからな!

 大阪リージョン以外はこのまま

# service network restart

でいいみたいなんだけど、大阪リージョンだと公式の解説に「一度落としてコンパネから起動してほしいナリ」的なことがまともな文章で書いてあるので、ざっくり

# shutdown -h now

で落としてコンパネから起動した。

 で、ifconfig -aを実行して、eth0inet6 addr: アドレス Scope:Globalがあれば、インターフェース設定は良し、と。
 netstat -rnA inet6も実行して、Destination::/0Next Hopがゲートウェイのアドレスになってれば、ゲートウェイの設定も良し、と。
 最後に、ping6 ipv6.google.com辺りでテストすればおしまい。

 あとはまー、各種サービスの設定か。つっても、何もしなくてもIPv6対応のサービスばかりなのだが。
 だがしかし、Fail2banで防御しておきたいサービスは残念ながら当面IPv4専用にすることに。通したいIPv6トラフィック以外をファイアウォールで全部弾くのが一番楽そうな気がするので、そうしてみた。
 Fail2banのIPv6サポートが簡単そうに思えてなかなか来ないなーと思ってたら、そもそもIPv6だと攻撃者がいちいちアドレスを変えるとか余裕な訳で、うーむ…。もうこのアプローチは駄目なんかなあ。最近はbotnetから来るから、IPv4でもいまいち止まってない感じだし。
 とはいえ、それなりに減る、ってのも相当有難いしなあ。Postgreyとかもそうだけど。いや、Postgreyは1/10くらいに減ってるから、それなりどころじゃないが。
 Fail2banがほぼ通用しなくなるか、IPv6でSMTPとか話せるようにしないと困る時代が来たら、その時にはスパッと諦めるとして、それまでは特定のサービス以外はIPv4だけで動かすかなあ。という何だかすっきりしない結論になるのであった。うーむむむ。

 まー何となくすっきりしない。こういう時は何か問題を抱えてる可能性が低くないんだよな、面白いことに。面白がってる場合でもないが。気ーになーるぞーう。

(Visited 65 times, 1 visits today)

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください