Я пытаюсь запустить исходящую маршрутизацию IPv6, моя проблема в том, что conntrack работает неправильно.
Я сбросил трафик через tcpdump, который показывает мне, что пакеты выходят за пределы (например, внутренний интерфейс -> маршрутизатор -> isp) и что я получаю ответ (isp -> маршрутизатор).
У меня есть общее правило блокировки для всего входящего трафика, кроме 443, но у меня также есть правило, разрешающее весь установленный или связанный трафик раньше:
-A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth1 -j lockout
Если я удалю правило блокировки, все будет работать, как ожидалось, но тогда я не смогу заблокировать любой другой трафик, проходящий через маршрутизатор.
Если посмотреть на результат conntrack -L -f ipv6
там нет потоков.
Модули загружены:
lsmod показывает:
nf_reject_ipv6 16384 1 ip6t_REJECT
nf_conntrack_ipv6 20480 3
nf_defrag_ipv6 36864 2 openvswitch,nf_conntrack_ipv6
nf_conntrack 110592 10 ip_vs,nf_conntrack_proto_gre,openvswitch,nf_nat,nf_nat_ipv4,xt_conntrack,nf_conntrack_netlink,xt_connmark,nf_conntrack_ipv4,nf_conntrack_ipv6
Версия ядра:
Linux router 4.3.3-1.el7.elrepo.x86_64 #1 SMP Tue Dec 15 11:18:19 EST 2015 x86_64 x86_64 x86_64 GNU/Linux
ОПЕРАЦИОННЫЕ СИСТЕМЫ:
CentOS 7
Я что-то ошибаюсь или просто не работает? Где я могу найти, в чем проблема?