Názor k článku Bezpečné IPv6: zkrocení zlých směrovačů od Pali - V radvd (ne)nastavit Autonomous bit ide (moznost AdvAutonomous)....
-
Pali (neregistrovaný)
V radvd (ne)nastavit Autonomous bit ide (moznost AdvAutonomous). Cisco v tomto smere nepoznam, ale internet hovori, ze by malo fungovat toto:
ipv6 nd prefix SOMETHING no-autoconfig
Neposkytovat ND prefix v RA ma jeden zasadny problem. Je to jedine miesto v IPv6 ako povedat prefix/rozsah (obdoba IPv4 masky) pre pocitace zapojene v sieti.
Spravne podla RFC-ciek by stroje nemali nastavovat ziadne /64 a pod. a to ani v pripade ked ND prefix v RA pakete nie je uvedeny... To ze to na windowse funguje je jedna vec, na linuxe to zavisi od userspacu a konkretne od DHCPv6 daemona (ktory nejaky prefix povie kernelu).
ISC dhcpv6 klient ma natvrdo zapisany "/64" v zdrojakoch (co je porusenie RFC3315) a uplne ignoruje prefix informaciu v RA.
Dibbler dhcpv6 klient porusje RFC3315 takiez, ak nie je zapnuta moznost "strict-rfc-no-routing".
dhcpv6 WIDE klient a aj dhcpcd 6 nastavi spravne prefix z RA a nepouziva ziadne hardcodovane veci ako "/64".
Btw, NetworkManager, ktory pouziva ISC dhcpv6 klienta prefix "/64" v novsich verziach uz zahadzuje a nahrazduje ho prefixom z RA.
Takze to ze ti to funguje na linuxe je dovod skor ten, ze pouzivas niektory z "nespravne nakodenych" (rozumej porusu rfc) dhcpv6 klientov a je dost mozne ze sa to v buducnosti opravi (ako v pripade najviac rozsireneho NetworkManager, ktory uz opravili).
