まー先に言うとFail2banが問題なんすけどね。
　すっかり忘れてたけど、ふと思い出したのでIPv6対応を再開してみたのだ。

　さくらのVPSは多分もう全部IPv6対応な気がするので、素直に公式のCentOS6向け解説の通りに設定してみよう。
　せっかくメモも兼ねたblogなので、主に自分用としてまとめてみる。

　まずコンパネの「仮想サーバ情報」でIPアドレス確認。「詳細」を押すとゲートウェイとネームサーバのアドレスも出る。

　/etc/sysconfig/networkに、

NETWORKING_IPV6="yes"
IPV6_DEFAULTDEV="eth0"
IPV6_DEFAULTGW="ゲートウェイのアドレス"

のように追記。

　/etc/sysconfig/network-scripts/ifcfg-eth0に、

IPV6INIT="yes"
IPV6_ROUTER="no"
IPV6ADDR="アドレス"

のように追記。アンダーバーがあったり無かったりしてうざい。

　せっかくだから/etc/resolv.confにも、

nameserver ネームサーバのアドレス

とか追記しといたけど普通に要らないと思うし、公式の手順でも特に触ってない。いいんだ、半分実験用の鯖だからな！

　大阪リージョン以外はこのまま

# service network restart

でいいみたいなんだけど、大阪リージョンだと公式の解説に「一度落としてコンパネから起動してほしいナリ♥」的なことがまともな文章で書いてあるので、ざっくり

# shutdown -h now

で落としてコンパネから起動した。

　で、ifconfig -aを実行して、eth0にinet6 addr: アドレス Scope:Globalがあれば、インターフェース設定は良し、と。
　netstat -rnA inet6も実行して、Destinationが::/0のNext Hopがゲートウェイのアドレスになってれば、ゲートウェイの設定も良し、と。
　最後に、ping6 ipv6.google.com辺りでテストすればおしまい。

　あとはまー、各種サービスの設定か。つっても、何もしなくてもIPv6対応のサービスばかりなのだが。
　だがしかし、Fail2banで防御しておきたいサービスは残念ながら当面IPv4専用にすることに。通したいIPv6トラフィック以外をファイアウォールで全部弾くのが一番楽そうな気がするので、そうしてみた。
　Fail2banのIPv6サポートが簡単そうに思えてなかなか来ないなーと思ってたら、そもそもIPv6だと攻撃者がいちいちアドレスを変えるとか余裕な訳で、うーむ…。もうこのアプローチは駄目なんかなあ。最近はbotnetから来るから、IPv4でもいまいち止まってない感じだし。
　とはいえ、それなりに減る、ってのも相当有難いしなあ。Postgreyとかもそうだけど。いや、Postgreyは1/10くらいに減ってるから、それなりどころじゃないが。
　Fail2banがほぼ通用しなくなるか、IPv6でSMTPとか話せるようにしないと困る時代が来たら、その時にはスパッと諦めるとして、それまでは特定のサービス以外はIPv4だけで動かすかなあ。という何だかすっきりしない結論になるのであった。うーむむむ。

　まー何となくすっきりしない。こういう時は何か問題を抱えてる可能性が低くないんだよな、面白いことに。面白がってる場合でもないが。気ーになーるぞーう。