Desativando tcp6

arasouza
(usa Debian)

Enviado em 27/04/2013 - 07:14h

Pessoal, desativei o ipv6 na minha maquina debian, porém quando dou um neststat sempre aparece:


tcp6 0 0 ip.real.:63945 74.125.234.121:80 TIME_WAIT
tcp6 0 0 ip.real.:44498 74.125.234.205:80 TIME_WAIT
tcp6 0 0 ip.real.:46729 200.172.62.44:80 TIME_WAIT
tcp6 0 0 ip.real.:23657 23.32.113.224:80 TIME_WAIT
tcp6 0 0 ip.real.:2029 31.13.85.8:80 TIME_WAIT
tcp6 0 1 ip.real.:25477 111.111.111.111:80 SYN_ENVIADO

se está desativando por que ainda há essas conexões com a porta 80? agradeço qualquer ajuda.

Carlos_Cunha
(usa Linux Mint)

Enviado em 27/04/2013 - 09:01h

Pode ser que algum serviços esteja pedindo como ipv6, ainda mais que é na porta 80....
use assim netstat -nltp e veja que algo rodando como ipv6

phoemur
(usa Debian)

Enviado em 27/04/2013 - 18:16h

Outra coisa é que você tem que desativar o ipv6 antes de subir os serviços...

echo "1" > /proc/sys/net/ipv6/conf/all/disable_ipv6
#colocar no seu script de inicialização antes de iniciar qualquer serviço de rede


Gostaria de acrescentar que só funciona se o ipv6 for compilado como módulo no seu kernel... Se ele estiver compilado como built-in não dá pra desabilitar o ipv6 com o echo "1" > /proc/sys/net/ipv6/conf/all/disable_ipv6 ou com o sysctl. A solução seria desabilitar o tráfego com ip6tables ou recompilar o kernel...

Tem uma dica sobre isso:

http://www.vivaolinux.com.br/dica/Nao-se-esqueca-do-IPv6-no-seu-Firewall

Abraços

phoemur
(usa Debian)

Enviado em 27/04/2013 - 18:20h

Por exemplo, no meu slackware 14 32bits ele desabilita o ipv6 com o sysctl ou com o echo...
Porém na mesma versão, slackware 14 64bits do outro computador ele não desabilita pois está compilado como built-in no kernel... Como eu sou preguiçoso eu bloqueio com ip6tables e beleza:

/usr/sbin/ip6tables -P INPUT DROP

/usr/sbin/ip6tables -P OUTPUT DROP

/usr/sbin/ip6tables -P FORWARD DROP

 

removido
(usa Nenhuma)

Enviado em 27/04/2013 - 18:57h

Se você usa Debian mesmo então..

edite /etc/default/grub

procure e edite a seguinte linha

GRUB_CMDLINE_LINUX_DEFAULT="ipv6.disable=1"

depois atualize seu grub

# update-grub

Ajuste seu /etc/hosts

Comente todas as referencias para endereços IPV6 dele.

Alguns serviços podem reclamar a falta do endereço localhost ipv6.

Eu sei que o exim4 irá chiar...

#dpkg-reconfigure exim4-config

Retire o endereço ::1 da lista de ips do exim4.

Tenha certeza que outros serviços (ssh, web) não exigem ipv6.

Senão ficará trancado do lado de fora do servidor...

reinicie...

arasouza
(usa Debian)

Enviado em 29/04/2013 - 17:03h

PretooOO resultado conforme sugerido:
# netstat -nltp
Conexões Internet Ativas (sem os servidores)
Proto Recv-Q Send-Q Endereço Local Endereço Remoto Estado PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* OUÃA 898/portmap
tcp 0 0 10.0.0.1:8080 0.0.0.0:* OUÃA 5174/dansguardian
tcp 0 0 0.0.0.0:80 0.0.0.0:* OUÃA 1269/apache2
tcp 0 0 127.0.0.1:631 0.0.0.0:* OUÃA 1526/cupsd
tcp 0 0 0.0.0.0:3128 0.0.0.0:* OUÃA 18399/(squid)
tcp 0 0 0.0.0.0:807 0.0.0.0:* OUÃA 12750/sshd
tcp6 0 0 :::807 :::* OUÃA 12750/sshd

arasouza
(usa Debian)

Enviado em 29/04/2013 - 17:45h

caro kyetoy, nao achei a linha mencionada no /etc/default/grub, tinha poucas opções, agora no /boot/grub/grub.cfg, tinha muita coisa mas também nao tinha a linha mencionada. veja q no netstat -nta ele dá algumas conexões com a porta 80 com syn enviado e estabelecida:

tcp6 0 1 ipreal:35170 111.111.111.111:80 SYN_ENVIADO
tcp6 319142 0 ipreal:51540 208.117.248.239:80 ESTABELECIDA
tcp6 0 1 ipreal:35166 111.111.111.111:80 SYN_ENVIADO
tcp6 0 0 ipreal:38024 173.194.27.85:80 ESTABELECIDA


e veja o ifconfig:

eth0 Link encap:Ethernet Endereço de HW xxxxxxxxxxxxxx
inet end.: xxxxxxxxxxxx Bcast: xxxxxxxxxxxxxx Masc:255.255.255.0
UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1
RX packets:65219586 errors:0 dropped:0 overruns:0 frame:0
TX packets:46683663 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:1000
RX bytes:1355656114 (1.2 GiB) TX bytes:2109463998 (1.9 GiB)
IRQ:18 Endereço de E/S:0x4800

o ipv6 não está levantado..
então como pode ser isso?