înregistrare Logare
Puncte:-1
phonon112358 avatar Server

IPv6 nu funcționează pe Debian 11 cu nftables/nginx

drapel us
phonon112358

Rulez un server web (nginx 1.21.6) pe un sistem Debian 11 cu nftables 0.9.8. Configurația mea nftables este:

tabel inet filter {
intrare în lanț {
  tip filtru cârlig intrare filtru prioritar; scăderea politicii;
            ip saddr @spamhaus4 contor pachete 0 octeți 0 picătură
            ip6 saddr @spamhaus6 contor pachete 0 octeți 0 picătură
            meta l4proto tcp meta nfproto ipv4 ip saddr @abuzed counter pachete 0 bytes 0 drop
            ip daddr 46.38.148.0-46.38.151.255 drop
            dacă „lo” grupul de jurnal 2 accept
            iif != „lo” ip daddr 127.0.0.0/8 contor pachete 0 octeți 0 drop comment „eliminare conexiuni la loopback care nu provin din loopback”
            iif != „lo” ip6 daddr ::1 contor pachete 0 octeți 0 drop comment „eliminare conexiuni la loopback care nu provin din loopback”
            starea ct stabilită, grupul de jurnal asociat 2 accept
            ct state pachete de contor nevalide 47 octeți 2572 picătură
            tcp dport { 25, 80, 143, 443, 587, 2772, 9980, 45907 } jurnal grup 2 accept
            protocol ip icmp tip icmp { ecou-reply, destinație-inaccesibil, ecou-request, router-publicitate, router-solicitare, timp depășit, parametru-problemă } log group 2 accept
            ip6 nexthdr ipv6-icmp icmpv6 tip { destinație-inaccesibil, pachet-prea-mare, timp depășit, problemă-parametru, ecou-request, echo-reply, nd-router-solicit, nd-router-advert, nd-neighbor- solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert } grup de jurnal 2 accept
            ip6 nexthdr ipv6-icmp jurnal grup 2 accept
            contor pachete 2686 octeți 421604 picătură
    }

    lanț IPinput {
            tip filtru cârlig intrare filtru prioritate + 10; scăderea politicii;
            contor pachete 88448 octeți 15799025 coada num 0-3 bypass,fanout
    }

    lanț înainte {
            tip filtru cârlig înainte filtru prioritar; scăderea politicii;
    }

    ieșire în lanț {
            tip filtru cârlig ieșire filtru prioritar; acceptarea politicii;
    }

    lanț IPSoutput {
            tip filtru cârlig ieșire prioritate filtru + 10; scăderea politicii;
            contor pachete 76196 octeți 201278628 coada num 0-3 bypass,fanout
    }
   }

Firewall-ul nftables funcționează bine.

Cu toate acestea, serverele mele nginx nu sunt accesibile prin IPv6. Am folosit diferite instrumente de verificare IPv6 (de ex., https://ipv6-test.com/validate.php) Si deasemenea Qualys ssltest nu poate accesa serverul prin IPv6, cu toate acestea, IPv4 funcționează bine. Am inclus asculta [::]:80;(resp. asculta [::]:443;directivă în fiecare dintre serverele mele nginx. Și netstat -anlp |grep nginx

tcp 0 0 0.0.0.0:80 0.0.0.0:* ASCULTĂ 48846/nginx: master
tcp 0 0 0.0.0.0:443 0.0.0.0:* ASCULTĂ 48846/nginx: master
tcp 0 0 192.168.42.98:443 93.104.163.178:39001 VERBUNDEN 48847/nginx: lucrător
tcp 0 0 192.168.42.98:443 93.104.163.178:39368 VERBUNDEN 48847/nginx: lucrător
tcp 0 0 192.168.42.98:443 93.104.163.178:43086 VERBUNDEN 48847/nginx: lucrător
tcp6 0 0 :::80 :::* ASCULTĂ 48846/nginx: master
tcp6 0 0 :::443 :::* ASCULTĂ 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160451 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160453 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160450 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160448 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160452 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160446 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160449 48846/nginx: master

Pe routerul meu, am activat și IPv6.

Are cineva vreo idee unde ar putea fi problema?

89
0 + 0
drapel in
Zoredache
Dacă rulați `tcpdump -n ip6` și încercați să vă conectați prin IPv6, vedeți ceva? Puteți da ping la adresa IPv6 a gazdei?
0
Răspunde
djdomi avatar
drapel za
djdomi
routerul este situat acasa?
0
Răspunde
A.B avatar
drapel cl
A.B
IPSinput/IPSoutput este pentru testare, nu? nimeni nu știe ce se întâmplă acolo. Pe lângă gestionarea ICMPv6, bifați `man nft` la partea cu cuvintele "Atenție când utilizați ip6 nexthdr": dacă unele pachete ICMPv6 au anteturi suplimentare, acestea sunt eliminate cu setul dvs. de reguli curent.
0
Răspunde
phonon112358 avatar
drapel us
phonon112358
Vă mulțumesc tuturor pentru comentarii! ;) Acestea m-au ajutat foarte mult la depanare!
0
Răspunde
Puncte:0
phonon112358 avatar Server
drapel us
phonon112358

Datorită comentariului lui @Zoredache la întrebarea mea, am încercat să pun ping la adresa IPv6 a gazdei mele.A funcționat doar în rețeaua mea de acasă. Când am încercat să-l ping prin subnetOnline sau alt site, nu a mers.

Am găsit apoi acest răspuns în unix.stackoverflow.com: https://unix.stackexchange.com/a/443380/520989 . Am editat /etc/dhcpcd.conf fișier și înlocuit slaac privatcu slaac hwaddr. Făcându-mi routerul (Fritzbox 7583), uitând de configurația anterioară și repornind serverul, mi-a rezolvat într-adevăr problema! Serverul meu este acum complet accesibil prin IPv6 (de asemenea, nginx)!

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.