Рейтинг:-1

IPv6 не работает в Debian 11 с nftables/nginx

флаг us

Я использую веб-сервер (nginx 1.21.6) в системе Debian 11 с nftables 0.9.8. Моя конфигурация nftables:

таблица инет фильтр {
цепочка ввода {
  тип filter фильтр приоритета ввода хука; падение политики;
            ip saddr @spamhaus4 счетчик пакетов 0 байт 0 дроп
            ip6 saddr @spamhaus6 счетчик пакетов 0 байт 0 дроп
            meta l4proto tcp meta nfproto ipv4 ip saddr @abused counter пакетов 0 байт 0 дроп
            IP-адрес 46.38.148.0-46.38.151.255 падение
            iif "lo" группа журналов 2 принять
            iif != "lo" ipdddr 127.0.0.0/8 counter пакетов 0 байт 0 drop comment "отбрасывать подключения к петле, не поступающие из петлевой проверки"
            iif != "lo" ip6 saddr ::1 counter пакетов 0 байт 0 drop comment "отбрасывать соединения с петлей, не исходящие из петлей"
            состояние ct установлено, связанная группа журналов 2 принимает
            ct состояние неверный счетчик пакетов 47 байт 2572 отбрасывается
            tcp dport {25, 80, 143, 443, 587, 2772, 9980, 45907} группа журналов 2 принять
            IP-протокол icmp icmp type {эхо-ответ, место назначения недоступно, эхо-запрос, реклама маршрутизатора, запрос маршрутизатора, превышение времени, проблема с параметром} группа журналов 2 принять
            ip6 nexthdr ipv6-icmp icmpv6 type { пункт назначения недоступен, пакет слишком большой, превышено время, проблема с параметром, эхо-запрос, эхо-ответ, nd-router-solicit, nd-router-advert, nd-neighbor- запросить, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert } группа журналов 2 принять
            ip6 nexthdr ipv6-icmp группа журналов 2 принять
            счетчик пакетов 2686 байт 421604 отбрасывается
    }

    цепочка IPSinput {
            тип фильтра хук входной фильтр приоритета + 10; падение политики;
            счетчик пакетов 88448 байт 15799025 номер очереди 0-3 обход, разветвление
    }

    цепочка вперед {
            тип фильтра перехвата приоритета фильтра; падение политики;
    }

    выход цепи {
            фильтр приоритета вывода обработчика типа фильтра; политика принять;
    }

    цепочка IPSoutput {
            тип фильтра обработчика выходного приоритета фильтр + 10; падение политики;
            счетчик пакетов 76196 байт 201278628 номер очереди 0-3 обход, разветвление
    }
   }

Брандмауэр nftables работает нормально.

Однако мои серверы nginx недоступны по IPv6. Я использовал разные инструменты проверки IPv6 (например, https://ipv6-test.com/validate.php) а также Qualys ssltest не удается получить доступ к серверу через IPv6, однако IPv4 работает нормально. я включил слушать [::]:80;(отв. слушать [::]:443;на каждом из моих серверов nginx. И netstat -anlp |grep nginx дает

TCP 0 0 0.0.0.0:80 0.0.0.0:* ПРОСЛУШАТЬ 48846/nginx: мастер
TCP 0 0 0.0.0.0:443 0.0.0.0:* ПРОСЛУШИВАТЬ 48846/nginx: мастер
TCP 0 0 192.168.42.98:443 93.104.163.178:39001 ВЕРСИЯ 48847/nginx: рабочий
TCP 0 0 192.168.42.98:443 93.104.163.178:39368 ВЕРСИЯ 48847/nginx: рабочий
TCP 0 0 192.168.42.98:443 93.104.163.178:43086 ВЕРСИЯ 48847/nginx: рабочий
tcp6 0 0 :::80 :::* ПРОСЛУШИВАТЬ 48846/nginx: мастер
tcp6 0 0 :::443 :::* ПРОСЛУШАТЬ 48846/nginx: мастер
unix 3 [ ] STREAM VERBUNDEN 160451 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160453 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160450 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160448 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160452 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160446 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160449 48846/nginx: master

На моем роутере я тоже активировал IPv6.

У кого-нибудь есть идеи, где может быть проблема?

флаг in
Если вы запустите `tcpdump -n ip6` и попытаетесь подключиться через IPv6, вы что-нибудь увидите? Можете ли вы пропинговать IPv6-адрес хоста?
djdomi avatar
флаг za
роутер находится у вас дома?
A.B avatar
флаг cl
A.B
IPSinput/IPSoutput предназначен для тестирования, верно? никто не знает, что там происходит. Помимо обработки ICMPv6, проверьте `man nft` в части со словами «Осторожно при использовании ip6 nexthdr»: если некоторые пакеты ICMPv6 имеют дополнительные заголовки, они будут отброшены с вашим текущим набором правил.
phonon112358 avatar
флаг us
Спасибо всем за комментарии! ;) Это очень помогло мне в устранении неполадок!
Рейтинг:0
флаг us

Благодаря комментарию @Zoredache к моему вопросу, я попытался пропинговать IPv6-адрес моего хоста.Это работало только внутри моей домашней сети. Когда я попытался пропинговать его через подсетьОнлайн или другой сайт, это не сработало.

Затем я нашел этот ответ на unix.stackoverflow.com: https://unix.stackexchange.com/a/443380/520989 . я отредактировал /etc/dhcpcd.conf файл и заменил слаак частныйс слаак хваддр. Если мой маршрутизатор (Fritzbox 7583) забудет о предыдущей конфигурации и перезагрузит мой сервер, действительно решит мою проблему! Мой сервер теперь полностью доступен через IPv6 (также nginx)!

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.