なんとも不可解なIPv6 (2)

現在できていること

  • ホストマシンが,SLAACでIPv6アドレス・ルーティング情報を上流(プロバイダーのお仕着せルーター)から自動的に得ること
  • ホストマシンから外界へIPv6でつなぐこと
  • 外界からホストマシンのhttpd,sendmailなど公開しているサービスに,IPv4とIPv6で接続すること
  • ホストマシンからゲストマシンにdhcpdでIPv4のプライベートアドレスとIPv6のグローバルアドレスを与えること
  • ゲストマシンからIPv4のnatで外界につなぐこと
  • ホストマシンとゲストマシンの間のIPv6による双方向接続

できていないこと

  • ゲストマシンから外界にIPv6でつなぐこと

症状としては,例えばゲストマシンからSo-netのお仕着せルーターのIPv6アドレスをtraceroute6すると,ホストのvirbr0まで届くのですが,その先に行きません.ホストがブリッジ機能を果たしてくれません.

たぶん,引っかかっているのは,解ってしまえばなんでもないようなことだと思うのですが,この二日間悩んでいます.

KDDIのお仕着せルーターで,サーバー公開設定している.

ip6tablesスクリプト改訂

IPv6に関しては,なかなか解らなかったんですが,ip6tablesの設定がようやく,IPv4用のiptablesと対応させてできるようになりました.意図して設定すると,その通りの挙動になることが確認できました.

これまでは,so-netのルーターで,必要なサービスだけを通るようにして,サーバー(このBLOGのホスト)側では,全部OKにしていました.

今回,so-netのルーターでは,宛先IPアドレスがサーバーと一致すれば全部通すようにしました.フィルタリングはサーバーのほうでしています.IPv4と同じ運用です.

so-netのルーターは,20しかフィルタの設定ができないし,複数の設定の保存とか,融通も利きませんから,こういう形に持ってこようと考えてはいました.

Submission port (587)へのIPv6アクセス (Slackware 14.2へその13)

これは,Slackware 14.2のupgradeに直接関する問題ではなくて,IPv6化したあとの5か月越しの懸案でした.わが家のsendmailへ,IPv6ではsubmission port (587)へ接続できないのです.

lsof -i | grep sendmail
sendmail  29512   root    4u  IPv6 1301137      0t0  TCP *:smtp (LISTEN)
sendmail  29512   root    5u  IPv6 1301138      0t0  TCP *:smtps (LISTEN)
sendmail  29512   root    6u  IPv4 1301139      0t0  TCP *:submission (LISTEN)

てな具合です.そこで,ネット検索結果を参考に,sendmail.mcに,

DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea, Family=inet6')dnl

と加えて,なんやかんやしてsendmailをリスタートすると,

opendaemonsocket: daemon MSA: cannot listen: Address already in use

てな,エラーが出続けます.

想像するに,既に,IPv4オンリーでMSAが立ち上がったあとで,IPv6オプションを明示したMSAをもう一度立ち上げようとしている(あるいはその逆の順番)ことは解ります.だから,勝手に立ち上がるMSAを止めたい.

いつもながら,解ってしまえば簡単なことなんです.次のようなFEATURE文を一行書くだけです

FEATURE(`no_default_msa')dnl

無事動くようになりましたとさ.

sendmail  29792   root    4u  IPv6 1212952      0t0  TCP *:smtp (LISTEN)
sendmail  29792   root    5u  IPv6 1212953      0t0  TCP *:smtps (LISTEN)
sendmail  29792   root    6u  IPv6 1212954      0t0  TCP *:submission (LISTEN)

めでたしめでたし.

もちろん,上記のDAEMON_OPTIONS…も必要です.

辞書攻撃

先日,サーバーに高負荷がかかっていることに気がつきました.調べてみると,連続的にこのWordPressにログインしようとしています.クラックした,ユーザーとパスワードの組み合わせを連続して試みる辞書攻撃です.

IPv4のIPアドレスをブロックしたら,IPv6で攻撃を続けてきます.はじめてIPv6をブロックしました.

今月,1,000回以上,ログインをかけてきた回数とIPアドレスは次の通りです.

ukattacker のコピー

195から始まるもの以外はすべてウクライナの同一人物(またはグループ)と思われます.

昔は辞書には1,000以上のユーザー/パスワードの組み合わせがある,といわれてましたが,今は一桁多いようです.

追記

2002::/16は,6to4というIPv6 <-> IPv4をリレーするためのアドレスだそうです

5b c8 c 84は,91.200.12.132です.

いろいろ,手間のかかることをしてきやがります^^;;

しかるべき変換ルーターを介している.

sendmailのIPv6設定

IPv6化は,完了していませんでした.

実は,IMAPのIPv6化を追求していたときに既に気がついていました.sendmailが,プロバイダーのメールサーバーにメールを送るときは,IPv6のアドレスで送るのですが,受け取るときは,いつもIPv4なのです.たまたまなのかと思っていましたが,LAN内のテストでも,IPv6で接続できないことが解りました.

で,まずは,何も考えずにネット検索です. “sendmail IPv6″で検索すると,sendmail.mcに,

DAEMON_OPTIONS(`Name=IPv4, Family=inet, Port=smtp')dnl
DAEMON_OPTIONS(`Name=IPv6, Family=inet6, Port=smtp')dnl

の2行を追加して,sendmail.cfを作成せよ,という回答が多数を占めます.で,何も考えずにやってみますが,

daemon IPv4: problem creating SMTP socket

というエラーが出てしまいます.

さらに何も考えずに検索で見つかったことを片っ端から試しましたが,上記のエラーが出ます.

そこで,自分の頭で考えてみることにしました.そもそも,STARTTLSに対応させるために,私のsendmail.mcには,

DAEMON_OPTIONS(`Port=smtp, Name=MTA')dnl
DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl

というDAEMON_OPTIONSがあります.これが前述の追記したDAEMON_OPTIONSとコンフリクトするのでしょう.ということで,両者を合体させた,

DAEMON_OPTIONS(`Port=smtp, Name=MTA, Family=inet6')dnl
DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s, Family=inet6')dnl

というのに書き換えてみて,makeしたら,うまく動くようになりました(つまりDAEMON_OPTIONSはこの2行のみにした).

IPv4の記述(inet)はありませんが,なくても動くだろうという読みは当たりました(つまりデフォルトでサポートされているというか,IPv6に内包されている).

しかし,IPv6を使おうって意識の高い人たちが,STARTTLSを使ってない(使っていれば上記問題に遭遇するはず)ってのは理解不能です.

これも,解ってしまえばこれだけの話なんです.これだけのことで半日つぶしましたとさ.めでたしめでたし^^;

関連記事