У меня проблема с IPv6 на моем сервере. У меня настроен nginx для прослушивания порта 443 с IPv4 и IPv6. И это прекрасно работает: мой веб-сайт доступен из Интернета с включенным TLS.
Все усложняется, когда я активирую nftables: когда я захожу на свой сайт с IPv4, он работает, но когда я захожу на него с IPv6, время ожидания истекает :(
Вывод список правил sudo nft:
таблица инет фильтр {
цепочка ВХОД {
тип filter фильтр приоритета ввода хука; падение политики;
мета nftrace набор 1
состояние ct установлено, связанный комментарий принять "разрешить установленные соединения"
iif "lo" принять комментарий "разрешить все с локального хоста"
iif != "lo" ipdddr 127.0.0.0/8 counter пакетов 0 байт 0 drop comment "отбрасывать подключения к петле, не поступающие из петлевой проверки"
iif != "lo" ip6 saddr ::1 counter пакетов 0 байт 0 drop comment "отбрасывать соединения с петлей, не исходящие из петлей"
iifname "tunnel0" принять комментарий "разрешить все через VPN"
udp dport 12345 принять комментарий «разрешить VPN на порту 12345»
tcp dport { 22, 80, 443 } принять комментарий «разрешить HTTP, HTTPS и SSH на классических портах»
}
цепочка ВЫХОД {
фильтр приоритета вывода обработчика типа фильтра; политика принять;
}
цепочка ВПЕРЕД {
тип фильтра перехватывает приоритетный фильтр; падение политики;
}
}
Вывод трассировка монитора sudo nft | группа 443:
trace id 76d7cb1a inet filter ВХОДНОЙ пакет: iif "eth0" ether saddr AA:AA:AA:AA:AA:AA ether saddr BB:BB:BB:BB:BB:BB ip6 saddr 2a01:cb09:804b:cd61:CCCC: CCCC:CCCC:CCCC ip6 saddr 2001:CCCC:CCCC:CCCC::CCCC ip6 dscp cs0 ip6 ecn not-ect ip6 hoplimit 45 ip6 flowlabel 0 ip6 nexthdr tcp ip6 length 40 tcp sport 53184 tcp dport 443 tcp flags == syn tcp window 22240
Примечание. У меня нет этой проблемы с ssh на порту 22. Я запускаю nftables v0.9.8 (EDS) на Дебиан 11.
Я почти целый день искал решение. Любая помощь приветствуется! Благодарить
