Проблема с NFTABLE: IPv6 не ведет себя как IPv4 с зеркальной конфигурацией

Question

Проблема с NFTABLE: IPv6 не ведет себя как IPv4 с зеркальной конфигурацией

У меня проблема с IPv6 на моем сервере. У меня настроен nginx на прослушивание порта 443 из IPv4 и IPv6. И это прекрасно работает: мой веб-сайт доступен из Интернета с включенным TLS.

Все усложняется, когда я активирую nftables: когда я захожу на свой веб-сайт через IPv4, он работает, но когда я захожу к нему через соединения IPv6, тайм-аут истекает :(

Выходsudo nft list ruleset:

      table inet filter {
        chain INPUT {
                type filter hook input priority filter; policy drop;
                meta nftrace set 1
                ct state established,related accept comment "allow established connections"
                iif "lo" accept comment "allow all from localhost"
                iif != "lo" ip daddr 127.0.0.0/8 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback"
                iif != "lo" ip6 daddr ::1 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback"
                iifname "tunnel0" accept comment "allow all from VPN"
                udp dport 12345 accept comment "allow VPN on port 12345"
                tcp dport { 22, 80, 443 } accept comment "allow HTTP, HTTPS and SSH on classic ports"
        }

        chain OUTPUT {
                type filter hook output priority filter; policy accept;
        }

        chain FORWARD {
                type filter hook forward priority filter; policy drop;
        }
}

Выходsudo nft monitor trace | grep 443:

      trace id 76d7cb1a inet filter INPUT packet: iif "eth0" ether saddr AA:AA:AA:AA:AA:AA ether daddr BB:BB:BB:BB:BB:BB ip6 saddr 2a01:cb09:804b:cd61:CCCC:CCCC:CCCC:CCCC ip6 daddr 2001:CCCC:CCCC:CCCC::CCCC ip6 dscp cs0 ip6 ecn not-ect ip6 hoplimit 45 ip6 flowlabel 0 ip6 nexthdr tcp ip6 length 40 tcp sport 53184 tcp dport 443 tcp flags == syn tcp window 22240

Примечание. У меня нет этой проблемы с ssh на порту 22. Я запускаюnftables v0.9.8 (E.D.S.)на Дебиан 11.

Я почти день потратил на поиск решения. Любая помощь приветствуется! Благодарить

0

linux networking firewall ipv6 nftables

Источник

Ricain 28 сен '21 в 12:13

1 ответ

Другие вопросы по тегам linux networking firewall ipv6 nftables

Ricain 28 сен '21 в 17:48 2021-09-28 17:48 · Answer 1 · 2021-09-28 17:48

Мне не хватало некоторых ключевых корневых элементов IPv6. Добавление этого утверждения решило мою проблему:

      nft add rule inet filter INPUT 'icmpv6 type { 134, 135, 136, 137 } accept'

дополнительную информацию можно найти на https://serverfault.com/questions/1078828/nftable-issue-ipv6-does-not-behave-like-ipv4-with-mirror-config.