在上世紀90年代,也就是1994年的時候人們因為應對ipv4地址的短缺的問題而提出使用NAT技術ip過載,就出現了局域網的概念,讓局域網的私有ip能過通過NAT轉發來實現上網,NAT不僅能解決了lP地址不足的問題,而且還能夠有效地避免來自網絡外部的攻擊,隱藏並保護網絡內部的主機。而後又推出了ipv6,ipv6中IP地址的長度為128是iPv4的4倍它的長度可以使它讓地球上的每一粒沙子都可以分配ip,而在目前由於技術原因ipv6並沒有被大量的使用,而ipv6又沒有局域網的概念,所以如果沒有使用到ipv6的大多生產服務器一般都有卸載掉ipv6的模塊,但是如果今後技術成熟要使用再安裝又比較麻煩,但是不禁用又會存在安全隱患,那我們就可以通過ip6tables禁用ipv6,顧名思義ip6tables就是ipv6的iptables所以我們只要在ip6tables的filter表上的出入口以及轉發做限定就行了。
首先你先確定下主機上是否啟動ipv6可以通過ifconfig查看,如果是有inet6 addr:就是有啟用
同iptables一樣linux系統中ip6tables的默認文件在/etc/sysconfig/文件夾下,我們通過編輯保存就可以實現禁用ipv6
[[email protected] ~]# vim /etc/sysconfig/ip6tables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited#添加這3條規則
-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited
-A OUTPUT -j REJECT --reject-with icmp6-adm-prohibited
COMMIT
[root@test ~]# /etc/init.d/ip6tables restart
這樣ip6tables就生效了,當然其他Unix主機中沒有默認ip6tables文件的debian或Ubuntu等系統可以參照http://www.linuxidc.com/Linux/2017-02/140260.htm,要注意的是在ipv6中是沒有NAT的,所以在ip6tables中就沒有NAT表,其中的FORWARD轉發是與ipv4的轉發
sysctl以及利用sysctl禁用ipv6模塊 http://www.linuxidc.com/Linux/2017-02/140258.htm
