Назад | Перейти на главную страницу

Прямая цепочка ip6tables фильтрует все порты

Попробуйте следующее на узле centos 6 (работает ядро ​​openvz)

ip6tables -F ip6tables -X ip6tables -P FORWARD DROP ip6tables -A FORWARD -p tcp -m multiport --dports 21,22,80,443 -j ACCEPT ip6tables -A FORWARD -p udp -m multiport --dports 21,22,80,443 -j ACCEPT ip6tables -A FORWARD -p ipv6-icmp -j ACCEPT

Однако это, похоже, отключает подключение ipv6 от openvz VPS к узлу или Интернету, а на сканере портов он показывает все порты как отфильтрованные / заблокированные брандмауэром.

Тем не менее, пинг vps внутри узла на VPS работает нормально.

Все, что я пытаюсь сделать, - это отбросить все вперед, принять несколько портов, показанных выше, и разрешить подключение ipv6.

Это определенно проблема с ip6tables, так как когда я останавливаю ip6tables, он работает нормально, и пинг абсолютно в порядке.

Ваша помощь очень ценится.

Проблема в том, что ваш брандмауэр не отслеживает состояние и разрешает трафику проходить только в одном направлении. Здесь нет ничего, что могло бы разрешить обратный трафик. Итак, пока клиентский запрос проходит, ответ сервера не соответствует никаким правилам и отбрасывается.

Напишите вместо обычных правил с отслеживанием состояния. Например:

-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -m multiport --dports 21,22,80,443 -j ACCEPT

Второе правило разрешает начальную попытку подключения, а первое правило разрешает весь остальной трафик, пока соединение остается открытым. Это во-первых, потому что он будет совпадать чаще всего, а его наличие делает работу быстрее.

Ваше правило ICMP в порядке, и его следует оставить как есть.