Tôi có mạng dựa trên UniFi sau. Đối với bối cảnh của câu hỏi này, tất cả các tuyên bố liên quan đến IPv6 kết nối trừ khi có quy định khác.
Trong thiết lập này, máy chủ có thể truy cập internet thông qua USG thông qua bond0, nhưng không thể truy cập internet thông qua enp2s0f0. Ngoài ra, USG và máy chủ không thể ping lẫn nhau giữa LAN2/enp2s0f0, tuy nhiên chúng có thể giữa LAN1/bond0. Không có tường lửa đã được cài đặt trên máy chủ.
Kết nối IPv4 và truy cập internet giữa LAN2/enp2s0f0 hoạt động bình thường.
Tất cả các giao diện trên USG và máy chủ đều có cả địa chỉ IPv6 liên kết cục bộ và toàn cầu, được chỉ định thông qua ủy quyền tiền tố. USG nhận IP WAN qua DHCPv6 với /48 được ủy quyền. Đến lượt mình, USG cung cấp /64 cho mỗi giao diện LAN thông qua ủy quyền tiền tố (với quảng cáo bộ định tuyến).
USG có quy tắc tường lửa ipv6 trong nhóm 'WAN IN', chỉ định IP enp2s0f0 của máy chủ và hai cổng (80 và 443).
Mục tiêu của tôi:
- Chỉ có máy chủ truy cập internet qua giao diện enp2s0f0.
- Có thể truy cập máy chủ từ internet trên các cổng 80 và 443.
Thông tin thêm từ USG:
$ /sbin/ifconfig
eth0 Link encap:Ethernet HWaddr 74:ac:b9:df:d9:b8
inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.XXX Mặt nạ:255.255.252.0
inet6 addr: XXXX:XXXX:7fff:89:eadc:1152:90c2:550/128 Phạm vi:Toàn cầu
inet6 addr: fe80::76ac:b9ff:fedf:d9b8/64 Phạm vi:Liên kết
CHẠY PHÁT SÓNG TRÊN ĐA NĂNG MTU:1500 Số liệu:1
Các gói RX: 214886 lỗi: 0 bị rớt: 148 lần vượt: 0 khung hình: 0
Gói TX: 154122 lỗi: 0 bị rớt: 0 tràn: 0 nhà cung cấp dịch vụ: 0
va chạm:0 txqueuelen:0
Byte RX:255100029 (243,2 MiB) Byte TX:18676153 (17,8 MiB)
eth1 Link encap:Ethernet HWaddr 74:ac:b9:df:d9:b9
inet addr:192.168.118.118 Bcast:192.168.118.255 Mặt nạ:255.255.255.0
inet6 addr: fe80::76ac:b9ff:fedf:d9b9/64 Phạm vi:Liên kết
inet6 addr: XXXX:XXXX:8b:2:76ac:b9ff:fedf:d9b9/64 Phạm vi:Toàn cầu
CHẠY PHÁT SÓNG TRÊN ĐA NĂNG MTU:1500 Số liệu:1
Các gói RX: 229284 lỗi: 0 bị rớt: 183 tràn: 0 khung hình: 0
Gói TX: 257854 lỗi: 0 bị rớt: 0 tràn: 0 nhà cung cấp dịch vụ: 0
va chạm:0 txqueuelen:0
Byte RX:25017796 (23,8 MiB) Byte TX:259257297 (247,2 MiB)
eth2 Link encap:Ethernet HWaddr 74:ac:b9:df:d9:ba
inet addr:192.168.253.1 Bcast:192.168.253.255 Mặt nạ:255.255.255.0
inet6 addr: fe80::76ac:b9ff:fedf:d9ba/64 Phạm vi:Liên kết
inet6 addr: XXXX:XXXX:8b:1:76ac:b9ff:fedf:d9ba/64 Phạm vi:Toàn cầu
CHẠY PHÁT SÓNG TRÊN ĐA NĂNG MTU:1500 Số liệu:1
Các gói RX: 10589 lỗi: 0 bị rớt: 0 tràn: 0 khung hình: 0
Gói TX: 8973 lỗi: 0 bị rớt: 0 tràn: 0 nhà cung cấp dịch vụ: 0
va chạm:0 txqueuelen:0
Byte RX:2233148 (2,1 MiB) Byte TX:1494400 (1,4 MiB)
$ ip -6 lộ trình
XXXX:XXXX:8b:1::/64 dev eth2 số liệu hạt nhân nguyên mẫu 256
XXXX:XXXX:8b:2::/64 dev eth1 số liệu nhân nguyên bản 256
XXXX:XXXX:7fff:89:eadc:1152:90c2:550 dev eth0 chỉ số hạt nhân proto 256
fe80::/64 dev eth0 số liệu nhân proto 256
fe80::/64 dev eth1 số liệu hạt nhân nguyên mẫu 256
fe80::/64 dev eth2 số liệu hạt nhân nguyên mẫu 256
mặc định qua fe80::2a2:ff:feb2:c2 dev eth0 proto ra metric 1024 hết hạn 1674 giây hoplimit 64
$ hiển thị tường lửa
--------------------------------------------- ------------------------------
Tường lửa IPv4 "AUTHORIZED_GUESTS":
Không hoạt động - Không áp dụng cho bất kỳ giao diện, vùng hoặc kiểm tra nội dung nào.
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
10000 giảm tất cả 0 0
--------------------------------------------- ------------------------------
Tường lửa IPv4 "GUEST_IN":
Hoạt động trên (eth2,IN)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
3001 chấp nhận tcp_udp 0 0
điều kiện - tcp dpt: tên miền
3002 chấp nhận tcp 0 0
điều kiện - tcp dpt:https match-set captive_portal_subnets dst
3003 chấp nhận tất cả 0 0
điều kiện - match-set guest_pre_allow dst
3004 thả tất cả 0 0
điều kiện - set-match guest_restricted dst
3005 thả tất cả 0 0
điều kiện - match-set công ty_network dst
3006 thả tất cả 0 0
điều kiện - match-set remote_user_vpn_network dst
3007 thả tất cả 0 0
điều kiện - trận đấu thiết lập ủy quyền_guests dst
6001 nhận tất cả 8878 1883939
điều kiện - saddr 192.168.253.0/24
10000 chấp nhận tất cả 0 0
--------------------------------------------- ------------------------------
Tường lửa IPv4 "GUEST_LOCAL":
Hoạt động trên (eth2,LOCAL)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
3001 chấp nhận tcp_udp 1096 80696
điều kiện - tcp dpt: tên miền
3002 chấp nhận icmp 0 0
3003 chấp nhận udp 26 8528
điều kiện - udp spt:bootpc dpt:bootps
10000 thả tất cả 1 227
--------------------------------------------- ------------------------------
Tường lửa IPv4 "GUEST_OUT":
Hoạt động trên (eth2,OUT)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
6001 chấp nhận tất cả 7504 1268333
điều kiện - chadr 192.168.253.0/24
10000 chấp nhận tất cả 0 0
--------------------------------------------- ------------------------------
Tường lửa IPv4 "LAN_IN":
Hoạt động trên (eth1,IN)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
2000 từ chối tất cả 0 0
điều kiện - trạng thái KHÔNG HỢP LỆ,MỚI,LIÊN QUAN,ĐÃ THÀNH LẬP trận đấu-SRC--GROUP NETv4_eth2
match-DST--GROUP NETv4_eth1 từ chối với icmp-port-unreachable
6001 chấp nhận tất cả 107548 8539102
điều kiện - saddr 192.168.118.0/24
10000 chấp nhận tất cả 0 0
--------------------------------------------- ------------------------------
Tường lửa IPv4 "LAN_LOCAL":
Hoạt động trên (eth1,LOCAL)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
10000 chấp nhận tất cả 30710 2348326
--------------------------------------------- ------------------------------
Tường lửa IPv4 "LAN_OUT":
Hoạt động trên (eth1,OUT)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
4000 từ chối tất cả 0 0
điều kiện - trạng thái KHÔNG HỢP LỆ,MỚI,LIÊN QUAN,ĐÃ THÀNH LẬP trận đấu-SRC--GROUP NETv4_eth1
match-DST--GROUP NETv4_eth2 từ chối với icmp-port-unreachable
6001 chấp nhận tất cả 69747 81090972
điều kiện - chadr 192.168.118.0/24
10000 chấp nhận tất cả 0 0
--------------------------------------------- ------------------------------
Tường lửa IPv4 "WAN_IN":
Hoạt động trên (eth0,IN)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
3001 chấp nhận tất cả 76607 82323027
điều kiện - trạng thái LIÊN QUAN, THÀNH LẬP
3002 thả tất cả 0 0
điều kiện - trạng thái KHÔNG HỢP LỆ
3003 chấp nhận tcp 65 3404
điều kiện - Daddr lemur.dmz.XXX.XXX tcp dpt:http
3004 chấp nhận tcp 47 2472
điều kiện - Daddr lemur.dmz.XXX.XXX tcp dpt:https
3005 chấp nhận tcp 481 28276
điều kiện - Daddr lemur.dmz.XXX.XXX tcp dpt:ssh
10000 giảm tất cả 0 0
--------------------------------------------- ------------------------------
Tường lửa IPv4 "WAN_LOCAL":
Hoạt động trên (eth0,LOCAL)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
3001 chấp nhận tất cả 6498 791616
điều kiện - trạng thái LIÊN QUAN, THÀNH LẬP
3002 thả tất cả 76 5449
điều kiện - trạng thái KHÔNG HỢP LỆ
10000 bỏ hết 1384 67100
--------------------------------------------- ------------------------------
Tường lửa IPv4 "WAN_OUT":
Hoạt động trên (eth0,OUT)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
4000 từ chối tất cả 48670 3341424
điều kiện - trạng thái KHÔNG HỢP LỆ,MỚI,LIÊN QUAN,THÀNH LIÊN KẾT đối sánh-SRC-ADDR-GROUP 6042f0f
26ca20408a0bf892f từ chối với icmp-port-không thể truy cập
10000 chấp nhận tất cả 67739 7082221
--------------------------------------------- ------------------------------
Tường lửa IPv6 "AUTHORIZED_GUESTSv6":
Không hoạt động - Không áp dụng cho bất kỳ giao diện, vùng hoặc kiểm tra nội dung nào.
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
10000 giảm tất cả 0 0
--------------------------------------------- ------------------------------
Tường lửa IPv6 "GUESTv6_IN":
Hoạt động trên (eth2,IN)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
3001 thả tất cả 0 0
điều kiện - match-set company_networkv6 dst
10000 chấp nhận tất cả 25 2256
--------------------------------------------- ------------------------------
Tường lửa IPv6 "GUESTv6_LOCAL":
Hoạt động trên (eth2,LOCAL)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
3001 chấp nhận udp 0 0
điều kiện - udp dpt: tên miền
3002 chấp nhận icmp 0 0
10000 bỏ hết 618 48352
--------------------------------------------- ------------------------------
Tường lửa IPv6 "GUESTv6_OUT":
Hoạt động trên (eth2,OUT)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
10000 chấp nhận tất cả 114 9064
--------------------------------------------- ------------------------------
Tường lửa IPv6 "LANv6_IN":
Hoạt động trên (eth1,IN)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
10000 chấp nhận tất cả 78533 8511294
--------------------------------------------- ------------------------------
Tường lửa IPv6 "LANv6_LOCAL":
Hoạt động trên (eth1,LOCAL)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
10000 chấp nhận tất cả 837 140990
--------------------------------------------- ------------------------------
Tường lửa IPv6 "LANv6_OUT":
Hoạt động trên (eth1,OUT)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
10000 chấp nhận tất cả 130345 168214132
--------------------------------------------- ------------------------------
Tường lửa IPv6 "WANv6_IN":
Hoạt động trên (eth0,IN)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
2000 chấp nhận ipv6-icmp 0 0
điều kiện - trạng thái địa chỉ ipv6-icmp MỚI, LIÊN QUAN, ĐÃ THÀNH LẬP không thể truy cập được
2001 chấp nhận ipv6-icmp 0 0
điều kiện - trạng thái MỚI, LIÊN QUAN, ĐÃ THÀNH LẬP gói ipv6-icmp quá lớn
2002 chấp nhận ipv6-icmp 1 108
điều kiện - trạng thái MỚI, LIÊN QUAN, ĐÃ THÀNH LẬP đã vượt quá thời gian ipv6-icmp
2003 chấp nhận ipv6-icmp 0 0
điều kiện - trạng thái vấn đề-tham số ipv6-icmp MỚI, LIÊN QUAN, ĐÃ THÀNH LẬP
2004 chấp nhận tcp 0 0
điều kiện - match-DST--GROUP 620f1fefada79301557fab76 match-set 620f1fd7ada793
Đã bật 01557fab75 dst LOG
3001 chấp nhận tất cả 40640 50664212
điều kiện - trạng thái LIÊN QUAN, THÀNH LẬP
3002 thả tất cả 15 900
điều kiện - trạng thái KHÔNG HỢP LỆ
10000 bỏ hết 38 4528
--------------------------------------------- ------------------------------
Tường lửa IPv6 "WANv6_LOCAL":
Hoạt động trên (eth0,LOCAL)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
3001 chấp nhận ipv6-icmp 187 13464
điều kiện - ipv6-icmp neighbour-advertisement
3002 chấp nhận ipv6-icmp 0 0
điều kiện - gạ gẫm hàng xóm ipv6-icmp
3003 chấp tất cả 43 5272
điều kiện - trạng thái LIÊN QUAN, THÀNH LẬP
3004 chấp nhận udp 20 3460
điều kiện - udp spt:dhcpv6-server dpt:dhcpv6-client
3005 chấp nhận ipv6-icmp 40 2880
điều kiện - quảng cáo bộ định tuyến ipv6-icmp
3006 thả tất cả 0 0
điều kiện - trạng thái KHÔNG HỢP LỆ
10000 thả tất cả 60 6240
--------------------------------------------- ------------------------------
Tường lửa IPv6 "WANv6_OUT":
Hoạt động trên (eth0,OUT)
quy tắc hành động proto gói byte
---- ------ ----- ------- -----
2000 chấp nhận tcp 0 0
điều kiện - match-DST--GROUP 620f1fefada79301557fab76 match-set 620f1fd7ada793
01557fab75 dst
10000 chấp nhận tất cả 78479 8507790
Và từ máy chủ:
# /sbin/ifconfig
trái phiếu0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500
inet 192.168.118.254 netmask 255.255.255.0 phát sóng 192.168.118.255
inet6 fe80::508d:a7ff:fe73:e07a tiền tốlen 64 phạm vi 0x20<link>
inet6 XXXX:XXXX:8b:2:508d:a7ff:fe73:e07a tiền tốlen 64 scopeid 0x0<global>
ether 52:8d:a7:73:e0:7a txqueuelen 1000 (Ethernet)
Gói RX 3638275406 byte 4719003770323 (4.2 TiB)
Lỗi RX 0 bị rớt 8 tràn 0 khung hình 0
Gói TX 2162159554 byte 190882816640 (177,7 GiB)
Lỗi TX 0 bị rớt 0 tràn 0 sóng mang 0 va chạm 0
trái phiếu0:0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500
inet 192.168.118.2 netmask 255.255.255.0 phát sóng 192.168.118.255
ether 52:8d:a7:73:e0:7a txqueuelen 1000 (Ethernet)
enp2s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.253.2 netmask 255.255.255.0 phát sóng 192.168.253.255
inet6 fe80::d685:64ff:fe6b:703c tiền tốlen 64 phạm vi 0x20<link>
inet6 XXXX:XXXX:8b:1:d685:64ff:fe6b:703c tiền tốlen 64 scopeid 0x0<global>
ether d4:85:64:6b:70:3c txqueuelen 1000 (Ethernet)
Gói RX 4407 byte 711568 (694,8 KiB)
Lỗi RX 0 bị rớt 0 tràn 0 khung hình 0
Gói TX 5408 byte 1111010 (1.0 MiB)
Lỗi TX 0 bị rớt 0 tràn 0 sóng mang 0 va chạm 0
# ip -6 lộ trình
::1 dev lo proto kernel metric 256 pref medium
XXXX:XXXX:8b:1::/64 dev enp2s0f0 số liệu kernel proto 256 hết hạn 86107 giây phương tiện trước
XXXX:XXXX:8b:2::/64 dev bond0 proto kernel metric 256 hết hạn 86289 giây pref medium
fe80::/64 dev bond0 proto kernel metric 256 pref medium
fe80::/64 dev enp2s0f0 proto kernel metric 256 pref medium
mặc định qua XXXX:XXXX:b9ff:fedf:d9b9 dev bond0 proto ra số liệu 1024 hết hạn 1689 giây hoplimit 64 pref cao
mặc định qua XXXX:XXXX:b9ff:fedf:d9ba dev enp2s0f0 proto ra số liệu 1024 hết hạn 1507 giây hoplimit 64 cao trước
# mèo /etc/mạng/giao diện
auto lo bond0 enp2s0f0
## Giao diện mạng loopback
vòng lặp iface lo inet
## NBN qua USG
iface enp2s0f0 inet dhcp
iface enp2s0f0 inet6 tự động
## LAN
iface bond0 inet tĩnh
địa chỉ 192.168.118.254
mặt nạ mạng 255.255.255.0
nô lệ enp2s0f1 enp3s0f0
cân bằng chế độ trái phiếu-rr
trái phiếu-miimon 100
trái phiếu giảm giá 200
độ trễ trái phiếu 200
iface bond0 inet6 tự động
## không sử dụng trái phiếu làm cổng mặc định
accept_ra 0
post-up ip -6 route mặc định qua fe80::76ac:b9ff:fedf:d9b9 dev bond0
## Bộ nhớ đệm
trái phiếu tự động0:0
iface bond0:0 inet tĩnh
địa chỉ 192.168.118.2
mặt nạ mạng 255.255.255.0
Câu hỏi của tôi: Tại sao không thiết bị nào có thể truy cập thiết bị kia (qua IPv6) trên liên kết enp2s0f0/LAN2 này?
Câu hỏi này dường như có một mục tiêu có thể so sánh được, nhưng không may là chưa được trả lời.
