In Proxmox io sono solito dare un indirizzo ip all' host solo sul bridge di management (tipicamente vmbr0) e creo gli altri bridge senza dare loro alcun indirizzo ip in quanto intendo essere sicuro che l' host PVE non sia raggiungibile in alcun modo da questi bridge (un uso classico e` un bridge in dmz o un bridge su una subnet pubblica).
Il problema è che ipv6 si auto-configura IN OGNI CASO, a meno che non lo disattiviamo, e non c'e` un modo (ad oggi, con PVE 8.x) di impostare un flag nella interfaccia web della gestione dei bridge per dirgli di non farlo. Nella migliore delle ipotesi ci troviamo con un indirizzo di tipo Link-Local (FE80:qualcosa) che non è accessibile da remoto ma può essere acceduto da qualsiasi VM che si trovi sul medesimo bridge. Nella peggiore delle ipotesi ipv6 si autoconfigura da solo con SLAAC e ci troviamo un ip v6 pubblico senza saperlo.
Disattivare totalmente ipv6 tranne dove sappiamo che ci serve. Per farlo possiamo usare sysctl sia "a caldo" che come config che viene caricata al boot.
/etc/sysctl.d/80-disable-v6.conf dove diciamo al sistema di disabilitare ipv6 ovunque, poi lo riattiviamo sulle interfacce che ci interessano, ovvero "lo" e il bridge di management (posto che ci interessi ipv6)# Disable IPv6 and RA on all interfaces net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.accept_ra = 0 net.ipv6.conf.all.accept_ra = 0 # Enable IPv6 on Loopback/vmbr0 and RA on vmbr0 net.ipv6.conf.lo.disable_ipv6 = 0 net.ipv6.conf.vmbr0.disable_ipv6 = 0 net.ipv6.conf.vmbr0.accept_ra = 1
* Applichiamo le regole appena scritte senza dover fare un reboot:
systemctl restart procps