Tham gia Đăng nhập
Điểm:-1
phonon112358 avatar Server

IPv6 không hoạt động trên Debian 11 với nftables/nginx

lá cờ us
phonon112358

Tôi đang chạy máy chủ web (nginx 1.21.6) trên hệ thống Debian 11 với nftables 0.9.8. Cấu hình nftables của tôi là:

bộ lọc inet bảng {
chuỗi đầu vào {
  loại móc bộ lọc đầu vào bộ lọc ưu tiên; giảm chính sách;
            ip saddr @ spamhaus4 bộ đếm gói 0 byte 0 drop
            ip6 saddr @ spamhaus6 gói truy cập 0 byte 0 drop
            meta l4proto tcp meta nfproto ipv4 ip saddr @abused gói bộ đếm 0 byte 0 drop
            ip Daddr 46.38.148.0-46.38.151.255 thả
            iif "lo" log nhóm 2 chấp nhận
            iif != "lo" ip daddr 127.0.0.0/8 gói truy cập 0 byte 0 drop comment "bỏ kết nối tới loopback không đến từ loopback"
            iif != "lo" ip6 Daddr ::1 counter packets 0 bytes 0 drop comment "bỏ kết nối tới loopback không đến từ loopback"
            Trạng thái ct được thiết lập, nhóm nhật ký liên quan 2 chấp nhận
            trạng thái ct gói truy cập không hợp lệ 47 byte 2572 giảm
            tcp dport { 25, 80, 143, 443, 587, 2772, 9980, 45907 } nhóm nhật ký 2 chấp nhận
            giao thức ip icmp icmp type { echo-reply, đích-không thể truy cập, echo-request, router-advertisement, router-sotication, time-exceeded, parameter-problem } chấp nhận nhật ký nhóm 2
            ip6 nexthdr ipv6-icmp icmpv6 type { không thể truy cập đích đến, gói quá lớn, vượt quá thời gian, vấn đề về tham số, yêu cầu tiếng vang, trả lời tiếng vang, nd-router-xin, nd-router-quảng cáo, nd-hàng xóm- gạ gẫm, nd-neighbor-advert, ind-neighbor-gợi ý, ind-neighbor-advert } nhật ký nhóm 2 chấp nhận
            ip6 nexthdr nhóm nhật ký ipv6-icmp 2 chấp nhận
            gói truy cập 2686 byte 421604 giảm
    }

    chuỗi IPSinput {
            loại móc bộ lọc đầu vào bộ lọc ưu tiên + 10; giảm chính sách;
            gói truy cập 88448 byte 15799025 số hàng đợi 0-3 bypass, fanout
    }

    chuỗi về phía trước {
            loại bộ lọc móc chuyển tiếp bộ lọc ưu tiên; giảm chính sách;
    }

    đầu ra chuỗi {
            loại móc bộ lọc đầu ra bộ lọc ưu tiên; chính sách chấp nhận;
    }

    đầu ra IPS chuỗi {
            loại móc bộ lọc đầu ra bộ lọc ưu tiên + 10; giảm chính sách;
            gói truy cập 76196 byte 201278628 số hàng đợi 0-3 bypass, fanout
    }
   }

Tường lửa nftables hoạt động tốt.

Tuy nhiên, (các) máy chủ nginx của tôi không thể truy cập được qua IPv6. Tôi đã sử dụng các công cụ kiểm tra IPv6 khác nhau (ví dụ: https://ipv6-test.com/validate.php) và cả chất lượng ssltest không thể truy cập máy chủ qua IPv6, tuy nhiên IPv4 vẫn hoạt động tốt. tôi đã bao gồm nghe [::]:80;(tương ứng nghe [::]:443;trong mỗi máy chủ nginx của tôi. Và netstat -anlp |grep nginx cho

tcp 0 0 0.0.0.0:80 0.0.0.0:* NGHE 48846/nginx: chủ
tcp 0 0 0.0.0.0:443 0.0.0.0:* NGHE 48846/nginx: chính
tcp 0 0 192.168.42.98:443 93.104.163.178:39001 ĐỘNG TỪ 48847/nginx: công nhân
tcp 0 0 192.168.42.98:443 93.104.163.178:39368 ĐỘNG TỪ 48847/nginx: worker
tcp 0 0 192.168.42.98:443 93.104.163.178:43086 ĐỘNG TỪ 48847/nginx: công nhân
tcp6 0 0 :::80 :::* NGHE 48846/nginx: master
tcp6 0 0 :::443 :::* NGHE 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160451 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160453 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160450 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160448 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160452 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160446 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160449 48846/nginx: master

Trên bộ định tuyến của tôi, tôi cũng đã kích hoạt IPv6.

Có ai có bất kỳ ý tưởng mà vấn đề có thể được?

89
0 + 0
lá cờ in
Zoredache
Nếu bạn chạy `tcpdump -n ip6` và cố gắng kết nối qua IPv6, bạn có thấy gì không? Bạn có thể ping địa chỉ IPv6 của máy chủ không?
0
Hồi đáp
djdomi avatar
lá cờ za
djdomi
bộ định tuyến có ở nhà bạn không?
0
Hồi đáp
A.B avatar
lá cờ cl
A.B
IPSinput/IPSoutput là để thử nghiệm phải không? không ai biết chuyện gì xảy ra ở đó. Bên cạnh việc xử lý ICMPv6, hãy kiểm tra `man nft` ở phần có dòng chữ "Thận trọng khi sử dụng ip6 nexthdr": nếu một số gói ICMPv6 có thêm tiêu đề, chúng sẽ bị loại bỏ cùng với bộ quy tắc hiện tại của bạn.
0
Hồi đáp
phonon112358 avatar
lá cờ us
phonon112358
Cảm ơn tất cả các bạn cho ý kiến! ;) Những thứ này đã giúp tôi rất nhiều trong việc khắc phục sự cố!
0
Hồi đáp
Điểm:0
phonon112358 avatar Server
lá cờ us
phonon112358

Nhờ nhận xét của @ Zoredache cho câu hỏi của tôi, tôi đã thử ping địa chỉ IPv6 của máy chủ lưu trữ của mình.Nó chỉ hoạt động trong mạng gia đình của tôi. Khi tôi cố gắng ping nó qua mạng conTrực tuyến hoặc một trang web khác, nó không hoạt động.

Sau đó tôi tìm thấy câu trả lời này trong unix.stackoverflow.com: https://unix.stackexchange.com/a/443380/520989 . tôi đã chỉnh sửa /etc/dhcpcd.conf tập tin và thay thế lười biếng riêng tưvới slaac waddr. Làm cho bộ định tuyến của tôi (Fritzbox 7583) quên đi cấu hình trước đó và khởi động lại máy chủ của tôi, thực sự đã giải quyết được vấn đề của tôi! Máy chủ của tôi hiện có thể truy cập hoàn toàn qua IPv6 (cũng là nginx)!

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.