[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: security.d.o ne répond plus ?



Steve a écrit :
>> Désactiver l'IPv6 reste peut-être possible en décommentant la ligne
>>
>> # alias net-pf-10 off           # IPv6
>>
>> qui figure dans je ne sais plus quel fichier de configuration de
>> module-init-tools.
> 
> Dans /etc/modprobe.d/alias
> 
> E si je décommentais, il faudrait aussi redémarrer ?

Probablement. Mais je ne garantis pas l'efficacité, ça ne marche
peut-être que si ipv6 est en module parce que là comme ça j'ai du mal à
voir comment modprobe pourrait affecter une fonction qui n'est pas en
module.

>> Solution crade et nécessairement temporaire : définir l'adresse IPv4 du
>> serveur dans /etc/hosts afin de court-circuiter la résolution DNS IPv6.
> 
> Hé hé, mais ça marche ! 

Evidemment que ça marche, sauf pour les tordus qui auraient donné la
priorité à la résolution DNS par rapport au fichier hosts.

>> Autre possibilité non testée : modifier dans /etc/gai.conf la precedence
>> pour favoriser les adresses IPv4 (préfixe ::ffff:0:0/96) par rapport aux
>> adresses IPv6 natives (préfixe ::/0). Y a un man mais pas très bien
>> foutu, et comme ce n'est pas encore disponible dans etch je peux pas
>> tester, mais ça doit être en remplaçant 10 par 45 par exemple.
> 
> Mais je ne vois pas trop où et je ne comprends pas vraiment ce qui est
> écrit.

gai.conf est le fichier de configuration de la fonction getaddrinfo() du
resolver de la libc. En gros on peut régler l'ordre de tri des adresses
retournées en fonction du préfixe. Par défaut les adresses IPv6 sont en
premier et en général l'application essaie les adresses dans l'ordre
dans lequel elle les récupère. Encore faut-il que l'application utilise
cette fonction pour la résolution de noms.


Reply to: