全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
查看: 1043|回复: 1

[翻译] nftables inet表设置的规则生效后ipv6无法连接

[复制链接]
发表于 2021-9-9 11:17:25 | 显示全部楼层 |阅读模式
本帖最后由 昵称以后再定 于 2021-9-9 12:14 编辑

已自行解决(暂时且玄学的),我也不知道原理,蹲一个屌大的更好的方案

今天改完网站配置用 ssllabs 测试的时候,才发现前段时间买的配好 nftables 防火墙的 dmit spro ipv6 是连不上的我 AAAA 记录了个寂寞,但是关了防火墙就好了。大概率是 nftables 设置的问题

不过我实在是看不出来,规则也写在 inet表内能同时匹配 ipv4 ipv6,不知道为什么一开 ipv6 就死 超时

规则如下,屌大的来看看,第一次用带 ipv6 的机器

  1. table inet filter {
  2.         ……
  3.         chain input {
  4.                 type filter hook input priority filter; policy drop;
  5.                 ct state invalid
  6.                 ct state established,related accept
  7.                 ……
  8.                 tcp dport 22222 accept # SSH
  9.                 tcp dport 443 accept
  10.         }

  11.         chain forward {
  12.                 type filter hook forward priority filter; policy drop;
  13.         }

  14.         chain output {
  15.                 type filter hook output priority filter; policy accept;
  16.         }
  17. }
复制代码
 楼主| 发表于 2021-9-9 12:11:21 | 显示全部楼层
本帖最后由 昵称以后再定 于 2021-9-9 12:14 编辑

已自行解决(暂时且玄学的),我也不懂原理,蹲一个屌大的更好的方案

dmit 在 网口 eth0 上同时附加 ipv4 ipv6,且 ipv6 有两个一个外部地址一个内部地址(其他主机商可能也有类似的配置)ifconfig 输出如下

  1. eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1350
  2.         inet ……  netmask 255.255.255.0  broadcast ……
  3.         inet6 内网地址  prefixlen 64  scopeid 0x20<link>
  4.         inet6 面板上显示的外网ipv6  prefixlen 48  scopeid 0x0<global>
  5.         ……
复制代码


在规则中增加 iif "eth0" accept ,或把相应链默认策略改成 accept ?

弄成大概下面这样

  1. table inet filter {
  2.         ……
  3.         chain input {
  4.                 type filter hook input priority filter; policy drop;
  5.                 ct state invalid
  6.                 ct state established,related accept
  7.                 ……
  8.                 iif "lo" accept
  9.                 iif "eth0" accept
  10.                 iif != "lo" ip daddr 127.0.0.0/8
  11.                 iif != "lo" ip6 daddr ::1
  12.                 ……
  13.                 tcp dport 22222 accept # SSH
  14.                 tcp dport 443 accept
  15.         }

  16.         chain forward {
  17.                 type filter hook forward priority filter; policy drop;
  18.         }

  19.         chain output {
  20.                 type filter hook output priority filter; policy accept;
  21.         }
  22. }
复制代码


暂时解决
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-3-28 19:30 , Processed in 0.057167 second(s), 7 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表