IPv6 DNS-Abfragen (AAAA lookups) deaktivieren?

[Dr1893]

Hallo,

weiß jemand wie ich auf meinem Debian 11-System IPv6 DNS-Abfragen deaktivieren kann?

Habe IPv6 grundsätzlich wie folgt deaktiviert:

Code: Alles auswählen

1. Datei /etc/sysctl.conf editieren
	# ipv6 deaktivieren
	net.ipv6.conf.all.disable_ipv6 = 1

2. Befehl sysctl -p ausführen	

Dennoch werden IPv6 DNS-Abfragen durchgeführt.

[Blackbox]

Habe IPv6 grundsätzlich wie folgt deaktiviert:

Code: Alles auswählen

1. Datei /etc/sysctl.conf editieren
	# ipv6 deaktivieren
	net.ipv6.conf.all.disable_ipv6 = 1

2. Befehl sysctl -p ausführen	

Das nenne ich doch einmal, das Problem mit einem Amboss erschlagen.
Nur an der Treffsicherheit sollte vorher gefeilt werden.

Eine typische Verzweiflungstat, wahrscheinlich mangels Kenntnis, oder Lust sich mit den eigentlichen Problem zu beschäftigen?

Dennoch werden IPv6 DNS-Abfragen durchgeführt.

Warum sollte dieses Gefummel auch funktionieren?

Was soll denn das Ziel dieser planlosen Aktion sein?

[Dr1893]

Was soll denn das Ziel dieser planlosen Aktion sein?

Da ich in meinem Netzwerk kein IPv6 verwendet, möchte ich gerne die AAAA-Abfragen an den Clients (und dann auch am DNS-Server) weghaben.
Vor allem, weil ja schon die IPv4 Abfrage funktioniert.
Dann ist die zusätzliche AAAA-Abfrage eigentlich unnötig.

Code: Alles auswählen

# Erste Konsole
nslookup google.de

# Zweite Konsole
tcpdump -ni any port 53
07:18:15.477341 enp5s0 Out IP 192.168.168.100.51184 > 192.168.168.1: 59774+ AAAA? google.de. (27)
07:18:15.492864 enp5s0 In  IP 192.168.168.11 > 192.168.168.1000.51184: 59774 1/0/0 AAAA 2a00:1450:4001:80f::2003 (55)

Das Problem scheint nicht leicht zu lösen zu sein.
Habe schon viel recherchiert und ich dachte, dass sich vielleicht hier im Forum Experten finden lassen, die mir helfen können?

https://serverfault.com/questions/63266 ... aa-lookups
https://unix.stackexchange.com/question ... -only-host

[schorsch_76]

In /etc/gai.conf [1][2][3][4] wird definiert in welcher Reihenfolge die Verbindungen und Abfragen probiert werden. Das ist definiert in RFC3484 [5].

[1] https://man7.org/linux/man-pages/man5/gai.conf.5.html
[2] https://mirrors.bieringer.de/Linux+IPv6 ... olver.html
[3] https://into6.com.au/2013/03/20/etcgai- ... k-it-is-2/
[4] https://timscha.io/ipv4-vor-ipv6-praeferieren/
[5] https://www.ietf.org/rfc/rfc3484.txt

[Dr1893]

In /etc/gai.conf [1][2][3][4] wird definiert in welcher Reihenfolge die Verbindungen und Abfragen probiert werden. Das ist definiert in RFC3484 [5].

Vielen Dank für die Antwort. Das ist mir bewusst.
Bei mir werden ja die IPv4 Abfragen vor den IPv6 Abfragen gemacht.
Ich möchte, dass die IPv6 Abfragen gar nicht mehr gemacht werden.

Finde in deinen 5 Links dazu aber nichts. Oder bin ich zu blöd?

[wanne]

In /etc/gai.conf [1][2][3][4] wird definiert in welcher Reihenfolge die Verbindungen und Abfragen probiert werden.

Das hat nichts mit DNS zu tun. Das muss die Anwendung halt erst mal machen um festzustellen welche Möglichkeiten es gibt.

Da ich in meinem Netzwerk kein IPv6 verwendet, möchte ich gerne die AAAA-Abfragen an den Clients (und dann auch am DNS-Server) weghaben.
Vor allem, weil ja schon die IPv4 Abfrage funktioniert.
Dann ist die zusätzliche AAAA-Abfrage eigentlich unnötig.

Mit Debian wirst du da eher nicht glücklich werden. Umgekehrt macht das Sinn und funktioniert bei den meisten Anwendungen. Wenn IPv6 tut braucht man kein IPv4 mehr. IPv4 ist halt nur der Fallback, wenn IPv6 nicht tut. Davor wird halt so lange IPv6 gemacht so lange bis man auf die Nase fällt. (Und DNS geht halt noch gut.) Extra neue Anwendungen bauen für ein paar Krüppelnetzwerke, die immer noch kein IPv6 können wäre echt dämlich. Die Zeit ist deutlich besser investiert endlich IPv4 in den letzten paar Krüppelnetzwerken zu killen, damit man den Fallback irgend wann mal wirklich los wird. Wäre nach 30 Jahren langsam mal an der Zeit.

Wenn du unbedingt zurück in die 80er willst: FreeBSD ist älter. FreeBSD 2 macht nur IPv4. Musst du halt auch passende Hardware haben:
http://ftp-archive.freebsd.org/mirror/F ... ELEASE.iso
Sonst stellt Gentoo immer noch passende Varianten vieler Anwendungen bereit. (USE="-ipv6") Das trifft aber auch bei weitem nicht mehr alle.

Kannst dir auch nen lokalen DNS-Server hin setzen der kein IPv6 spricht. Funktioniert so lange, bis irgend ne Anwendung per DNSSec prüft ob die Anfragen nicht manipuliert sind. (Macht defakto keine.)

[schorsch_76]

A call to getaddrinfo(3) might return multiple answers.
According to RFC 3484 these answers must be sorted so that the
answer with the highest success rate is first in the list. The
RFC provides an algorithm for the sorting. The static rules are
not always adequate, though. For this reason, the RFC also
requires that system administrators should have the possibility
to dynamically change the sorting. For the glibc implementation,
this can be achieved with the /etc/gai.conf file.

precedence ::/96 20

Das ist die default Prio von IPv4. Setze es auf 45 und es wird nur localhost höhere Prio haben.

getaddrinfo() [1] liefert die DNS Adressen. Meist wird es mit ai_family=AF_UNSPEC genutzt. Diese werden anhand der gai.conf sortiert. Wie ein Kernel ohne IPv6 "funktioniert" haben wir hier letztens im Thread von fischig gesehen.

[1] https://man7.org/linux/man-pages/man3/g ... nfo.3.html