[RÉSOLU] Services en écoute uniquement sur ipv6

Services en écoute uniquement sur ipv6 [RÉSOLU] - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 07-08-2012 à 09:30:31    

Bonjour,
Je dispose de plusieurs serveurs web sous linux apache.
Sur l'un d'entre eux j'ai fait la constatation suivante :
Lors d'un netsat le serveur apache est en écoute uniquement sur des adresses IPv6  

Code :
  1. netstat -lp -n
  2. Connexions Internet actives (seulement serveurs)
  3. Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
  4. tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      870/portmap
  5. tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1384/sshd
  6. tcp        0      0 0.0.0.0:58139           0.0.0.0:*               LISTEN      884/rpc.statd
  7. tcp6       0      0 :::80                   :::*                    LISTEN      5383/apache2
  8. tcp6       0      0 :::22                   :::*                    LISTEN      1384/sshd
  9. tcp6       0      0 :::443                  :::*                    LISTEN      5383/apache2


Or celui-ci est parfaitement accessible en IPv4.
 
Je souhaite bloquer ipv6 pour des raisons de sécurité.  
Y a t il un risque que le service web soit inaccessible après blocage?


Message édité par isaac76 le 07-08-2012 à 11:18:47
Reply

Marsh Posté le 07-08-2012 à 09:30:31   

Reply

Marsh Posté le 07-08-2012 à 09:48:46    

Change ta configuration Apache pour le faire écouter qu'en ipv4 si vraiment tu veux que de l'ipv4

Reply

Marsh Posté le 07-08-2012 à 10:21:02    

Merci pour ta réponse, je vais faire comme ca.
 
Je me demande quand même par quelle magie (ou tunneling) je parviens à y accéder en V4. Je me demande si le portmap n'y est pas pour quelque chose aussi.
 
De plus, je pense que la conf apache est par défaut.

Reply

Marsh Posté le 07-08-2012 à 10:27:38    

De tête certains service ouvrent qu'un socket ipv4+ipv6 et il est noté "ipv6" dans netstat

Reply

Marsh Posté le 07-08-2012 à 11:11:38    

Ok, alors ça serait netstat qui ne serais pas "exhaustif".
A conf identique mes autres serveurs ne le font pas.

Reply

Marsh Posté le 07-08-2012 à 11:14:50    

http://httpd.apache.org/docs/2.2/bind.html
 
"Les administrateurs d'Apache doivent se préoccuper de la possibilité pour un point de connexion IPv6 de traiter à la fois des connexions IPv4 et des connexions IPv6. Le traitement de connexions IPv4 avec un point de connexion IPv6 utilise des adresses IPv6 traduites en IPv4, qui sont autorisées par défaut sur la plupart des plateformes, mais sont interdites par défaut sous FreeBSD, NetBSD, et OpenBSD, afin de respecter la politique de sécurité du système sur ces plateformes. Mais même sur les systèmes où ces adresses sont interdites par défaut, un paramètre spécial du script configure permet de modifier ce comportement pour Apache."

Reply

Marsh Posté le 07-08-2012 à 11:18:10    

Un grand merci !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed