Am următoarea rețea bazată pe UniFi. În contextul acestei întrebări, toate afirmațiile se referă la IPv6 conectivitate, dacă nu se specifică altfel.
În această configurare, serverul poate accesa internetul prin USG prin bond0, dar nu poate face acest lucru prin enp2s0f0. În plus, USG și serverul nu pot face ping reciproc între LAN2/enp2s0f0, dar pot face între LAN1/bond0. Nu a fost instalat niciun firewall pe server.
Conectivitatea IPv4 și accesul la internet între LAN2/enp2s0f0 funcționează fără probleme.
Toate interfețele de pe USG și server au atât adrese IPv6 locale, cât și adrese globale, atribuite prin delegarea prefixului. USG primește un IP WAN prin DHCPv6 cu un /48 delegat. La rândul său, USG oferă un /64 pentru fiecare dintre interfețele LAN prin delegarea prefixului (cu reclame la router).
USG are o regulă de firewall ipv6 în grupul „WAN IN”, care specifică IP-ul enp2s0f0 al serverului și două porturi (80 și 443).
Obiectivele mele:
- Aveți acces la internet la server numai prin interfața enp2s0f0.
- Aveți serverul accesibil de pe internet pe porturile 80 și 443.
Informații suplimentare de la USG:
$ /sbin/ifconfig
eth0 Link encap:Ethernet HWaddr 74:ac:b9:df:d9:b8
adresa inet:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.XXX Masca:255.255.252.0
inet6 adresa: XXXX:XXXX:7fff:89:eadc:1152:90c2:550/128 Domeniu: Global
inet6 addr: fe80::76ac:b9ff:fedf:d9b8/64 Domeniu de aplicare:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Pachete RX:214886 erori:0 dropped:148 overruns:0 frame:0
Pachete TX:154122 erori:0 scăpat:0 depășiri:0 transportator:0
coliziuni:0 txqueuelen:0
Octeți RX: 255100029 (243,2 MiB) Octeți TX: 18676153 (17,8 MiB)
eth1 Link encap:Ethernet HWaddr 74:ac:b9:df:d9:b9
inet adresa:192.168.118.118 Bcast:192.168.118.255 Masca:255.255.255.0
inet6 addr: fe80::76ac:b9ff:fedf:d9b9/64 Domeniu de aplicare:Link
inet6 adresa: XXXX:XXXX:8b:2:76ac:b9ff:fedf:d9b9/64 Domeniu de aplicare:Global
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Pachete RX:229284 erori:0 dropped:183 overruns:0 frame:0
Pachete TX:257854 erori:0 dropped:0 overruns:0 carrier:0
coliziuni:0 txqueuelen:0
Octeți RX: 25017796 (23,8 MiB) Octeți TX: 259257297 (247,2 MiB)
eth2 Link encap:Ethernet HWaddr 74:ac:b9:df:d9:ba
inet adresa:192.168.253.1 Bcast:192.168.253.255 Masca:255.255.255.0
inet6 addr: fe80::76ac:b9ff:fedf:d9ba/64 Domeniu de aplicare:Link
inet6 adresa: XXXX:XXXX:8b:1:76ac:b9ff:fedf:d9ba/64 Domeniu de aplicare:Global
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Pachete RX:10589 erori:0 dropped:0 overruns:0 frame:0
Pachete TX:8973 errors:0 dropped:0 overruns:0 carrier:0
coliziuni:0 txqueuelen:0
Octeți RX: 2233148 (2,1 MiB) Octeți TX: 1494400 (1,4 MiB)
$ ip -6 traseu
XXXX:XXXX:8b:1::/64 dev eth2 proto kernel metric 256
XXXX:XXXX:8b:2::/64 dev eth1 proto kernel metric 256
XXXX:XXXX:7fff:89:eadc:1152:90c2:550 dev eth0 proto kernel metric 256
fe80::/64 dev eth0 proto kernel metric 256
fe80::/64 dev eth1 proto kernel metric 256
fe80::/64 dev eth2 proto kernel metric 256
implicit prin fe80::2a2:ff:feb2:c2 dev eth0 proto ra metric 1024 expiră 1674sec hoplimit 64
$ arată firewall
--------------------------------------------- -------------------------------
Firewall IPv4 „AUTHORIZED_GUESTS”:
Inactiv - Nu se aplică nici unei interfețe, zone sau pentru inspecția conținutului.
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
10000 drop all 0 0
--------------------------------------------- -------------------------------
Firewall IPv4 „GUEST_IN”:
Activ pe (eth2,IN)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
3001 accept tcp_udp 0 0
condiție - tcp dpt:domain
3002 acceptă tcp 0 0
condiție - tcp dpt:https match-set captive_portal_subnets dst
3003 acceptă toate 0 0
condiție - set de potriviri guest_pre_allow dst
3004 pierzi toate 0 0
condiție - set de meciuri guest_restricted dst
3005 drop all 0 0
condiție - set de potriviri corporate_network dst
3006 pierzi toate 0 0
condiție - set de potriviri remote_user_vpn_network dst
3007 pierzi toate 0 0
condiție - set de meciuri authorized_guests dst
6001 acceptă toate 8878 1883939
stare - saddr 192.168.253.0/24
10000 acceptă toate 0 0
--------------------------------------------- -------------------------------
Firewall IPv4 „GUEST_LOCAL”:
Activ pe (eth2,LOCAL)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
3001 acceptă tcp_udp 1096 80696
condiție - tcp dpt:domain
3002 acceptă icmp 0 0
3003 accept udp 26 8528
stare - udp spt:bootpc dpt:bootps
10000 picătură toate 1 227
--------------------------------------------- -------------------------------
Firewall IPv4 „GUEST_OUT”:
Activ pe (eth2,OUT)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
6001 acceptă toate 7504 1268333
stare - daddr 192.168.253.0/24
10000 acceptă toate 0 0
--------------------------------------------- -------------------------------
Firewall IPv4 „LAN_IN”:
Activ pe (eth1,IN)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
2000 resping toate 0 0
stare - stare INVALID, NOU, RELATED, ESTABLISHED potrivire-SRC--GROUP NETv4_eth2
match-DST--GROUP NETv4_eth1 respinge-cu icmp-port-inaccesibil
6001 acceptă toate 107548 8539102
stare - saddr 192.168.118.0/24
10000 acceptă toate 0 0
--------------------------------------------- -------------------------------
Firewall IPv4 „LAN_LOCAL”:
Activ pe (eth1,LOCAL)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
10000 acceptă toate 30710 2348326
--------------------------------------------- -------------------------------
Firewall IPv4 „LAN_OUT”:
Activ pe (eth1,OUT)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
4000 resping toate 0 0
stare - stare INVALID, NOU, RELATED, ESTABLISHED potrivire-SRC--GROUP NETv4_eth1
match-DST--GROUP NETv4_eth2 respinge-cu icmp-port-inaccesibil
6001 acceptă toate 69747 81090972
stare - daddr 192.168.118.0/24
10000 acceptă toate 0 0
--------------------------------------------- -------------------------------
Firewall IPv4 „WAN_IN”:
Activ pe (eth0,IN)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
3001 acceptă toate 76607 82323027
stare - stare RELATĂ, INSTALAT
3002 drop all 0 0
stare - stare INVALID
3003 acceptă tcp 65 3404
stare - daddr lemur.dmz.XXX.XXX tcp dpt:http
3004 acceptă tcp 47 2472
stare - daddr lemur.dmz.XXX.XXX tcp dpt:https
3005 acceptă tcp 481 28276
stare - daddr lemur.dmz.XXX.XXX tcp dpt:ssh
10000 drop all 0 0
--------------------------------------------- -------------------------------
Firewall IPv4 „WAN_LOCAL”:
Activ pe (eth0,LOCAL)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
3001 acceptă toate 6498 791616
stare - stare RELATĂ, INSTALAT
3002 drop all 76 5449
stare - stare INVALID
10000 drop all 1384 67100
--------------------------------------------- -------------------------------
Firewall IPv4 „WAN_OUT”:
Activ pe (eth0,OUT)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
4000 resping toate 48670 3341424
stare - stare INVALID, NOU, RELATED, ESTABLISHED match-SRC-ADDR-GROUP 6042f0f
26ca20408a0bf892f respingere-cu icmp-port-inaccesibil
10000 acceptă toate 67739 7082221
--------------------------------------------- -------------------------------
Firewall IPv6 „AUTHORIZED_GUESTSv6”:
Inactiv - Nu se aplică nici unei interfețe, zone sau pentru inspecția conținutului.
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
10000 drop all 0 0
--------------------------------------------- -------------------------------
Firewall IPv6 „GUESTv6_IN”:
Activ pe (eth2,IN)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
3001 drop all 0 0
condiție - set de potriviri corporate_networkv6 dst
10000 acceptă toate 25 2256
--------------------------------------------- -------------------------------
Firewall IPv6 „GUESTv6_LOCAL”:
Activ pe (eth2,LOCAL)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
3001 accept udp 0 0
condiție - udp dpt:domain
3002 acceptă icmp 0 0
10000 drop all 618 48352
--------------------------------------------- -------------------------------
Firewall IPv6 „GUESTv6_OUT”:
Activ pe (eth2,OUT)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
10000 acceptă toate 114 9064
--------------------------------------------- -------------------------------
Firewall IPv6 „LANv6_IN”:
Activ pe (eth1,IN)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
10000 acceptă toate 78533 8511294
--------------------------------------------- -------------------------------
Firewall IPv6 „LANv6_LOCAL”:
Activ pe (eth1,LOCAL)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
10000 acceptă toate 837 140990
--------------------------------------------- -------------------------------
Firewall IPv6 „LANv6_OUT”:
Activ pe (eth1,OUT)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
10000 acceptă toate 130345 168214132
--------------------------------------------- -------------------------------
Firewall IPv6 „WANv6_IN”:
Activ pe (eth0,IN)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
2000 acceptă ipv6-icmp 0 0
stare - stare NOU, RELATED, STABILIT adresa ipv6-icmp-inaccesibilă
2001 acceptă ipv6-icmp 0 0
stare - stare NOU, RELATED, STABILIT pachet ipv6-icmp-prea-mari
2002 acceptă ipv6-icmp 1 108
stare - stare NOU, RELATED, ESTABLEZAT ipv6-icmp timp-depășit
2003 acceptă ipv6-icmp 0 0
stare - stare NOU, RELATED, STABILIT ipv6-icmp parametru-problemă
2004 acceptă tcp 0 0
stare - meci-DST--GROUP 620f1fefada79301557fab76 meci-set 620f1fd7ada793
01557fab75 dst LOG activat
3001 acceptă toate 40640 50664212
stare - stare RELATĂ, INSTALAT
3002 aruncă toate 15 900
stare - stare INVALID
10000 picătură toate 38 4528
--------------------------------------------- -------------------------------
Firewall IPv6 „WANv6_LOCAL”:
Activ pe (eth0,LOCAL)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
3001 accept ipv6-icmp 187 13464
stare - ipv6-icmp vecin-reclamă
3002 acceptă ipv6-icmp 0 0
condiție - ipv6-icmp vecin-solicitare
3003 acceptă toate 43 5272
stare - stare RELATĂ, INSTALAT
3004 accept udp 20 3460
stare - udp spt:dhcpv6-server dpt:dhcpv6-client
3005 acceptă ipv6-icmp 40 2880
stare - ipv6-icmp router-reclamă
3006 pierzi toate 0 0
stare - stare INVALID
10000 drop all 60 6240
--------------------------------------------- -------------------------------
Firewall IPv6 „WANv6_OUT”:
Activ pe (eth0,OUT)
acțiune de regulă pachete proto octeți
---- ------ ----- ------- -----
2000 acceptă tcp 0 0
stare - meci-DST--GROUP 620f1fefada79301557fab76 meci-set 620f1fd7ada793
01557fab75 dst
10000 acceptă toate 78479 8507790
Și de pe server:
# /sbin/ifconfig
bond0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500
inet 192.168.118.254 netmask 255.255.255.0 difuzare 192.168.118.255
inet6 fe80::508d:a7ff:fe73:e07a prefixlen 64 scopeid 0x20<link>
inet6 XXXX:XXXX:8b:2:508d:a7ff:fe73:e07a prefixlen 64 scopeid 0x0<global>
ether 52:8d:a7:73:e0:7a txqueuelen 1000 (Ethernet)
Pachete RX 3638275406 octeți 4719003770323 (4,2 TiB)
Erori RX 0 a scăzut 8 depășiri 0 cadru 0
Pachete TX 2162159554 octeți 190882816640 (177,7 GiB)
Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
bond0:0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500
inet 192.168.118.2 netmask 255.255.255.0 difuzare 192.168.118.255
ether 52:8d:a7:73:e0:7a txqueuelen 1000 (Ethernet)
enp2s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.253.2 netmask 255.255.255.0 difuzare 192.168.253.255
inet6 fe80::d685:64ff:fe6b:703c prefixlen 64 scopeid 0x20<link>
inet6 XXXX:XXXX:8b:1:d685:64ff:fe6b:703c prefixlen 64 scopeid 0x0<global>
ether d4:85:64:6b:70:3c txqueuelen 1000 (Ethernet)
Pachete RX 4407 octeți 711568 (694,8 KiB)
Erori RX 0 a scăzut 0 depășiri 0 cadru 0
Pachete TX 5408 octeți 1111010 (1,0 MiB)
Erori TX 0 a scăzut 0 depășiri 0 purtător 0 coliziuni 0
# ip -6 ruta
::1 dev lo proto kernel metric 256 pref mediu
XXXX:XXXX:8b:1::/64 dev enp2s0f0 metrica proto kernel 256 expiră 86107sec pref mediu
XXXX:XXXX:8b:2::/64 dev bond0 proto kernel metric 256 expiră 86289sec pref mediu
fe80::/64 dev bond0 proto kernel metric 256 pref mediu
fe80::/64 dev enp2s0f0 proto kernel metric 256 pref mediu
implicit prin XXXX:XXXX:b9ff:fedf:d9b9 dev bond0 proto ra metric 1024 expiră 1689sec hoplimit 64 pref high
implicit prin XXXX:XXXX:b9ff:fedf:d9ba dev enp2s0f0 proto ra metric 1024 expiră 1507sec hoplimit 64 pref high
# cat /etc/network/interfaces
auto lo bond0 enp2s0f0
## Interfața de rețea loopback
iface lo inet loopback
## NBN prin USG
iface enp2s0f0 inet dhcp
iface enp2s0f0 inet6 auto
## LAN
iface bond0 inet static
adresa 192.168.118.254
mască de rețea 255.255.255.0
sclavi enp2s0f1 enp3s0f0
bond-mode balance-rr
bond-miimon 100
întârziere retragere 200
întârziere la actualizarea obligațiunilor 200
iface bond0 inet6 auto
## nu utilizați bond ca gateway implicit
accept_ra 0
post-up ip -6 route del default prin fe80::76ac:b9ff:fedf:d9b9 dev bond0
## Cache
legătură automată 0:0
iface bond0:0 inet static
adresa 192.168.118.2
mască de rețea 255.255.255.0
Intrebarea mea: De ce niciun dispozitiv nu poate accesa celălalt (prin IPv6) pe această legătură enp2s0f0/LAN2?
Această întrebare părea să aibă un obiectiv comparabil, dar, din păcate, nu a primit răspuns.
