Я использую веб-сервер (nginx 1.21.6) в системе Debian 11 с nftables 0.9.8.
Моя конфигурация nftables:
таблица инет фильтр {
цепочка ввода {
тип filter фильтр приоритета ввода хука; падение политики;
ip saddr @spamhaus4 счетчик пакетов 0 байт 0 дроп
ip6 saddr @spamhaus6 счетчик пакетов 0 байт 0 дроп
meta l4proto tcp meta nfproto ipv4 ip saddr @abused counter пакетов 0 байт 0 дроп
IP-адрес 46.38.148.0-46.38.151.255 падение
iif "lo" группа журналов 2 принять
iif != "lo" ipdddr 127.0.0.0/8 counter пакетов 0 байт 0 drop comment "отбрасывать подключения к петле, не поступающие из петлевой проверки"
iif != "lo" ip6 saddr ::1 counter пакетов 0 байт 0 drop comment "отбрасывать соединения с петлей, не исходящие из петлей"
состояние ct установлено, связанная группа журналов 2 принимает
ct состояние неверный счетчик пакетов 47 байт 2572 отбрасывается
tcp dport {25, 80, 143, 443, 587, 2772, 9980, 45907} группа журналов 2 принять
IP-протокол icmp icmp type {эхо-ответ, место назначения недоступно, эхо-запрос, реклама маршрутизатора, запрос маршрутизатора, превышение времени, проблема с параметром} группа журналов 2 принять
ip6 nexthdr ipv6-icmp icmpv6 type { пункт назначения недоступен, пакет слишком большой, превышено время, проблема с параметром, эхо-запрос, эхо-ответ, nd-router-solicit, nd-router-advert, nd-neighbor- запросить, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert } группа журналов 2 принять
ip6 nexthdr ipv6-icmp группа журналов 2 принять
счетчик пакетов 2686 байт 421604 отбрасывается
}
цепочка IPSinput {
тип фильтра хук входной фильтр приоритета + 10; падение политики;
счетчик пакетов 88448 байт 15799025 номер очереди 0-3 обход, разветвление
}
цепочка вперед {
тип фильтра перехвата приоритета фильтра; падение политики;
}
выход цепи {
фильтр приоритета вывода обработчика типа фильтра; политика принять;
}
цепочка IPSoutput {
тип фильтра обработчика выходного приоритета фильтр + 10; падение политики;
счетчик пакетов 76196 байт 201278628 номер очереди 0-3 обход, разветвление
}
}
Брандмауэр nftables работает нормально.
Однако мои серверы nginx недоступны по IPv6. Я использовал разные инструменты проверки IPv6 (например, https://ipv6-test.com/validate.php) а также Qualys ssltest не удается получить доступ к серверу через IPv6, однако IPv4 работает нормально.
я включил слушать [::]:80;(отв. слушать [::]:443;на каждом из моих серверов nginx. И netstat -anlp |grep nginx дает
TCP 0 0 0.0.0.0:80 0.0.0.0:* ПРОСЛУШАТЬ 48846/nginx: мастер
TCP 0 0 0.0.0.0:443 0.0.0.0:* ПРОСЛУШИВАТЬ 48846/nginx: мастер
TCP 0 0 192.168.42.98:443 93.104.163.178:39001 ВЕРСИЯ 48847/nginx: рабочий
TCP 0 0 192.168.42.98:443 93.104.163.178:39368 ВЕРСИЯ 48847/nginx: рабочий
TCP 0 0 192.168.42.98:443 93.104.163.178:43086 ВЕРСИЯ 48847/nginx: рабочий
tcp6 0 0 :::80 :::* ПРОСЛУШИВАТЬ 48846/nginx: мастер
tcp6 0 0 :::443 :::* ПРОСЛУШАТЬ 48846/nginx: мастер
unix 3 [ ] STREAM VERBUNDEN 160451 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160453 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160450 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160448 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160452 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160446 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160449 48846/nginx: master
На моем роутере я тоже активировал IPv6.
У кого-нибудь есть идеи, где может быть проблема?
