Voorbereidings checklist voor IPv6 testdag
Op 8 juni 2011 zullen verschillende websites een test van het IP versie6 protocol houden door er ondersteuning die dag voor te bieden.
Echter IP versie6 aanzetten heeft nogal wat voorbereiding nodig anders loopt een website risico gehackt of onbereikbaar te worden.
Dus hier presenteer ik voor server beheerder een controle lijst waar je rekening mee moet houden voordat je IPv6 op je webserver en/of internetdienst aanzet.
– Zorg voor een fatsoenlijke offline backup van de oude configuratie, dienst/website en database voordat je IPversie6 aanzet.
– Controleer dat de firewall voor IPv6 aanstaat en de juiste regels geconfigureerd zijn. In linux moet je dus naast iptables dus ook ip6tables configureren. Ubuntu gebruikers kunnen met UFW zowel ipv6 als ipv4 regels toevoegen.
– Zorg voor een AAAA record in je dns zone zodat je dienst bereikbaar is met ipv6.
– Blokkeer IPv6 adressen die niet in gebruik zijn om spoofing van IPv6 adressen enigszins te voorkomen.
Een lijst met IPv6 adressen die niet in gebruik zijn kun je hier vinden.
Plaats dit bijvoorbeeld in een .htaccess file met bij elke regel vooral deny from ervoor.
– Als je een tunnel gebruikt controller of de tunnel goede beschikbaarheid heeft en weinig latency toevoegd.
– Vertrouw niet meer op NAT en de NAT de firewall. Met ipv6 werkt NAT en met ipv6 tunnel werkt de NAT firewall niet meer.
– Test je configuratie eerst grondig voordat je het inzet. Als er tijd en middelen voor zijn, test eerst je webserver in een afgeschermde virtuele machine voordat je het uitrolt naar een live omgeving.
Ik zelf maak notefly.org en d9ping.nl op de IPv6 test dag beschikbaar maar ze zijn nu ook al via het speciale subdomein ipv6. ipv www. beschikbaar als test. IPv6 zal iets sneller moeten werken met video en audio doordat er minder overhead is maar een tunnel daarin tegen werkt weer langzamer en is geen goede langer termijn oplossing.
D9ping