【NetworkManager】NM服务监听全网IPV6地址

最新推荐文章于 2024-07-13 10:16:40 发布
最新推荐文章于 2024-07-13 10:16:40 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: NetworkManager 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gxw1994/article/details/120536947
版权

1 问题现象

当系统启用IPV6时,NetworkManager服务默认会存在全0地址监听,此处58不是端口,是协议号,表示icmpv6,现象如下:

# netstat -anp | grep Network
raw6 0 0 :::58 :::* 7 2581242/NetworkMana

2 原因分析

2.1 raw6是什么?

raw6是IPV6的原始套接字(RAW SOCKET),
可以通过查看/proc/net/sockstat6文件进行确认:

[root@localhost:~ ]#  cat /proc/net/sockstat6
TCP6: inuse 1
UDP6: inuse 0
UDPLITE6: inuse 0
RAW6: inuse 1
FRAG6: inuse 0 memory 0
[root@localhost:~ ]#
2.2 :::地址是什么?

在ipv6中,::: 表示0地址,在这里表示所有ip的意思
https://qastack.cn/superuser/661188/what-is-in-the-local-address-of-netstat-output

2.3 58是什么服务的端口?

58不是端口,是协议号,对应的是icmp6协议,即IPV6上的ICMP协议,可以使用以下命令查询端口对应协议类型:

[root@localhost:~ ]# ss -l -6 -p -e -n
Netid      State        Recv-Q       Send-Q             Local Address:Port             Peer Address:Port      Process                                                                        
icmp6      UNCONN       0            0                              *:58                          *:*          users:(("NetworkManager",pid=229210,fd=21)) ino:685747 sk:1 v6only:0 <->      
tcp        LISTEN       0            128                         [::]:22                       [::]:*          users:(("sshd",pid=2780,fd=4)) ino:45366 sk:2 v6only:1 <->

NetworkManager服务在启动时调用libndp进行设置,默认监听全0网段,且无法通过命令行参数指定或者通过配置文件进行修改。

2.4 监听所有地址的58号协议目的是什么?

用于DAD检测
在IPv6环境下,当一个主机企图配置一个IPv6地址时,会先进行地址重复性检测,以确认在链路上该地址的唯一性。这一过程称为DAD(Duplicate Address Detection)。
比如在启动一个开启了IPv6的网卡时,网卡上会先自动配置一个link-local地址——以fe80开头的地址,在这个地址生效前会进行DAD检测。
DAD检测的关键就是NS报文,注意到该报文的源地址为全0,目的地址为一个多播地址,Target指向自己欲配置的IPv6地址。一段时间内,若链路上没有谁回复NA,或者在链路上收到同样结构的NS报文,则认为该地址在链路上具有唯一性,配置生效
整个过程中用到的NS 与 NA 报文都是icmpv6 协议的

3 解决方法

在不使用IPV6的场景下,可以通过禁用IPV6来关闭此全零监听,否则产品应根据实际业务组网情况和使用场景,决定使用防火墙等手段进行网络隔离。

方法一:关闭网卡的ipv6功能

在不使用IPV6的场景下,可以通过禁用IPV6来关闭此全零监听,否则应根据实际业务组网情况和使用场景,决定使用防火墙等手段进行网络隔离。
关闭ipv6功能既可以通过网卡配置文件实现,也可以通过sysctl实现

1 修改网卡配置关闭ipv6功能

/etc/sysconfig/network-scripts/ifcfg-ethX 配置IPV6_AUTOCONF=“yes” 会开启此端口监听,配置为IPV6_AUTOCONF="no"会关闭58 端口监听

修改配置文件并重启网卡生效:

root localhost:~ $ cat  /etc/sysconfig/network-scripts/ifcfg-eth6 
TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="static"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="yes"
IPADDR=10.137.55.254
IPV6INIT="yes"
IPV6_AUTOCONF="no"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
NAME="eth6"
DEVICE="eth6"
ONBOOT="yes"
root localhost:~ $ ifdown eth6 && ifup eth6</span>
2 通过sysctl借用ipv6

永久禁用所有接口的IPv6方法:
通过 /etc/sysctl.conf 文件对 /proc 进行永久修改,
复制代码代码如下:

# 禁用整个系统所有接口的IPv6
net.ipv6.conf.all.disable_ipv6 = 1

让配置文件立即生效

sysctl -p

禁用某一个指定接口的IPv6(例如:eth0, lo)

net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1

最终效果:
请添加图片描述

方法二:防火墙

NetworkManager.service有使用场景时,添加firewalld规则,限制对具体网络的访问。例如,使用如下配置,将删掉端口为58的地址请求(涉及ipv6):

firewall-cmd --permanent --add-rich-rule="rule family=ipv6  port protocol=tcp port=58 drop"

方法三:关闭NetworkManager服务

关闭服务:

systemctl  stop NetworkManager

禁止开机启动:

systemctl  disable NetworkManager
linux-Gao
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux使用NetworkManager随机生成你的MAC地址
09-15
今天小编就为大家分享一篇关于使用NetworkManager随机生成你的MAC地址的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
NetworkManager-wwan-lib.zip
09-17
然而,有时用户可能会遇到使用NetworkManager进行WWAN连接时获取IPv6地址失败的问题。这个问题通常是由于各种配置或依赖性问题导致的,本文将深入探讨如何解决这个问题。 首先,我们需要了解NetworkManager是如何...
物联网威胁监测系统最新发现一款针对IoT设备的RAT远控木马
wangluoanquan111的博客
08-17 239
2022年7月20日,天穹威胁监测系统监测到IoT蜜罐系统中的D-Link Dir817LW路由器遭受来自澳大利亚IP的攻击。系统显示目标设备被攻击成功,并且下载了恶意样本。实验室相关人员第一时间对该攻击事件样本进行分析,发现该次攻击投递的恶意样本为具备RAT功能的恶意程序。
Ipv6学习-IPv6监听::地址
kongxa2012的博客
11-27 518
1、linux和window均可以在监听地址时,使能或者关闭双栈,使用参数IPPROTO_IPV6, IPV6_V6ONLY。linux打开双栈监听IPv6监听::地址
使用 NetworkManager 快速实现 PPPOE 获取公网 IPv6 地址
最新发布
JiaWen的博客
07-13 1373
本文通过系统内置服务 NetworkManager 快速实现 PPPOE 拨号获取 IPv6 公网地址,适用于 CentOS 8 系列衍生版系统环境,如 Anolis OS 8.9 ....
linux ipv6监听端口,Nginx 监听 IPv6 地址的配置方法
weixin_31907307的博客
05-02 762
先在终端下输入指令 nginx -V ,看看输出结果有没有–with-ipv6,没有的话就需要重新编译带有ipv6支持的nginx了。编译nginx就不在这里说了,下面讲一下正确地配置nginx让其同时监听IPv4和IPv6端口(包括http协议的80和https协议的443端口),同时介绍一下只监听IPv6和特定IPv6地址的方法。同时监听IPv4和IPv6地址从 Nginx 1.3 的某个版...
查看服务器是否支持ipv6Linux
m0_50638181的博客
04-09 1万+
查看服务器是否支持ipv6Linux)1、查看是否支持ipv61.1、方式一1.2、方式二2、开启IPV62.1、vim /etc/sysctl.conf2.2、vim /etc/modprobe.d/disable_ipv6.conf2.3、vim /etc/sysconfig/network2.4、重启服务器测试是否支持ipv6 上一次我在安装clickhouse集群部署时,配置ip地址时不支持ipv6,需要查看服务器是否支持ipv6,这里给大家分享一下,如何查看linux服务器是否支持ipv6,以及
NETworkManager:功能强大的网络管理与问题排除工具
FreeBuf_的博客
04-18 3012
该工具使用远程桌面、PowerShell、PuTTY、TigerVNC或AWS(Systems Manager)会话管理器连接和管理远程系统,并通过统一界面中的WiFi分析器、IP扫描器、端口扫描器、Ping监视器、Traceroute、DNS查询或LLDP/CDP捕捉等功能分析和排除网络和系统故障。需要注意的是,主机或网络可以保存在加密的配置文件中,并可以在NETworkManager的所有功能中使用。】下载最新版本的NETworkManager。广大研究人员可以直接访问该项目的【
服务端口
实践求真知
11-22 427
端口是什么 如果把IP地址比作一间房子,端口就是出入这间房子的门。真正的房子只有几个门,但是一个IP地址端口可以有65536个。   二 关于端口     三 端口服务的对应 /etc/services   四 查询系统中开启的服务 netstat -tlunp -t:列出tcp数据 -u:列出udp数据 -l:列出正在监听的网络服务 -n:用端口号来显示服务
nm-api:NetworkManager DBUS API
04-28
NetworkManager DBUS API 通过安装 npm install --save nm-api 用 要将nm-api作为HTTP服务器启动: const nm = require ( ’nm - api’ ) ; const port = Number ( process . env . NM_SERVICE_API_PORT ) ; nm . ...
NetworkManager
03-07
它能够自动检测可用的网络服务,如Wi-Fi热点和以太网连接,并允许用户根据需求进行切换。此外,它还支持IPv4和IPv6的配置,以及DNS设置。 2. **数据同步**:在服务器和客户端之间实现数据同步是NetworkManager的一...
IP地址0.0.0.0究竟表示什么的一些看法
IT心雪的Blog
10-15 6160
参考RFC: 0.0.0.0/8 - Addresses in this block refer to source hosts on "this"network.  Address 0.0.0.0/32 may be used as a source address for thishost on this network; other addresses within 0.0.0.
IPV6网络地址
犇叔的博客
09-08 7801
ipv6地址,网络地址
PgSQL-安全加固实践-如何设置非全零监听
帅的数说
09-15 296
PgSQL-安全加固实践-如何设置非全零监听1、介绍PgSQL在启动前需要配置listen_addresses配置项,该配置项表示允许PgSQL服务监听程序绑定的IP。我们知道一个host上可以有多个网卡,每个网卡可以绑定多个IP,该参数就是控制PgSQL服务绑定在哪个或者哪几个IP上。即控制服务使用哪个网络接口进行监听连接请求。对于网络接口而言,这样可以有效阻止大量恶意重复的连接。2、问题在高可...
网络安全课笔记
hererle的博客
05-25 171
抽象语言------电脑(加工)------抽象语言1.应用层:跟人进行互动(人机交互)----(编程)=程序 后台2.表示层:将“编码”转化成电脑可以进行识别的 二进制3.介质访问控制层:控制硬件4.物理层:计算机硬件通信技术第一台电子计算机-----1946年2月14日1876年-----电话专利 ---数据传递----最早的数据传递(U盘)缺点:不方便传输,效率低,容易丢失。人类最早的网络----对等网增大网络1.网络变大 人数变多 ---- 节点增加了。
linux7系统58端口,web服务器管理Linux必备的命令
weixin_36328527的博客
05-06 615
1.站点根目录下查找是否被放置webshell***根据语句判断是不是PHP***脚本# find /storage/www/ -name "*.php" | xargs grep-in --color "eval("# grep -i --include='*.php' -r system\s*\( /storage/www/2.统计访问日志中来自同ip出现的次数分析盗链、***、机器人# ca...
Linux中查看socket状态
热门推荐
Mr. David 专栏
07-16 2万+
Linux中查看socket状态: cat /proc/net/sockstat #(这个是ipv4的) sockets: used 137 TCP: inuse 49 orphan 0 tw 3272 alloc 52 mem 46UDP: inuse 1 mem 0RAW: inuse 0 FRAG: inuse 0 memory 0 说明: sockets: used:已使用的所有协
TCP监测必备命令
linyu19872008的专栏
10-21 787
1  查看当前网络信息统计
linux端口监听默认ipv6,Nginx 监听 IPv6 地址的配置方法
weixin_39962675的博客
05-09 1735
先在终端下输入指令 nginx -V ,看看输出结果有没有–with-ipv6,没有的话就需要重新编译带有ipv6支持的nginx了。编译nginx就不在这里说了,下面讲一下正确地配置nginx让其同时监听IPv4和IPv6端口(包括http协议的80和https协议的443端口),同时介绍一下只监听IPv6和特定IPv6地址的方法。同时监听IPv4和IPv6地址从 Nginx 1.3 的某个版...
centos7配置ipv6地址
05-18
4. 保存并退出文件,在终端中运行以下命令重启NetworkManager服务: ``` systemctl restart NetworkManager ``` 5. 确认IPv6地址是否配置成功,可以再次运行命令`ip a`或`ifconfig -a`查看当前网络接口的信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值