Tôi gặp sự cố với IPv6 trên máy chủ của mình. Tôi đã định cấu hình nginx để nghe trên cổng 443 từ IPv4 và IPv6. Và nó hoạt động rất tốt: webiste của tôi có sẵn ở dạng Internet có bật TLS.
Mọi thứ trở nên phức tạp khi tôi kích hoạt nftables: khi tôi đang truy cập trang web của mình từ IPv4 thì nó hoạt động, nhưng khi tôi truy cập nó từ các kết nối IPv6 thì hết thời gian :(
đầu ra của bộ quy tắc danh sách sudo nft:
bộ lọc inet bảng {
chuỗi INPUT {
loại móc bộ lọc đầu vào bộ lọc ưu tiên; giảm chính sách;
meta nftrace tập 1
trạng thái ct được thiết lập,chấp nhận nhận xét có liên quan "cho phép kết nối được thiết lập"
iif "lo" chấp nhận nhận xét "cho phép tất cả từ máy chủ cục bộ"
iif != "lo" ip daddr 127.0.0.0/8 gói truy cập 0 byte 0 drop comment "bỏ kết nối tới loopback không đến từ loopback"
iif != "lo" ip6 Daddr ::1 counter packets 0 bytes 0 drop comment "bỏ kết nối tới loopback không đến từ loopback"
iifname "tunnel0" chấp nhận nhận xét "cho phép tất cả từ VPN"
udp dport 12345 chấp nhận nhận xét "cho phép VPN trên cổng 12345"
tcp dport { 22, 80, 443 } chấp nhận nhận xét "cho phép HTTP, HTTPS và SSH trên các cổng cổ điển"
}
chuỗi ĐẦU RA {
loại móc bộ lọc đầu ra bộ lọc ưu tiên; chính sách chấp nhận;
}
chuỗi FORWARD {
loại bộ lọc móc chuyển tiếp bộ lọc ưu tiên; giảm chính sách;
}
}
đầu ra của dấu vết màn hình sudo nft | grep 443:
theo dõi id 76d7cb1a bộ lọc inet Gói INPUT: iif "eth0" ether saddr AA:AA:AA:AA:AA:AA ether Daddr BB:BB:BB:BB:BB:BB ip6 saddr 2a01:cb09:804b:cd61:CCCC: CCCC:CCCC:CCCC ip6 daddr 2001:CCCC:CCCC:CCCC::CCCC ip6 dscp cs0 ip6 ecn not-ect ip6 hoplimit 45 ip6 flowlabel 0 ip6 nexthdr tcp ip6 độ dài 40 tcp sport 53184 tcp dport 443 tcp flags == syn tcp window 22240
Lưu ý rằng tôi không gặp sự cố này với ssh trên cổng 22. Tôi đang chạy nftables v0.9.8 (EDS) trên Debian 11.
Tôi gần như đã dành một ngày để tìm kiếm giải pháp. Bất kỳ trợ giúp đều được chào đón! Cám ơn
