Назад | Перейти на главную страницу

ip6tables разрывает соединения после запроса на порт 80

У меня небольшие проблемы с Ip6tables. Когда я применяю правила ниже, значит, все в порядке. После того, как я попробую http через веб-страницу, все в порядке. После того, как я вернусь к SSH, попробуйте, и ssh отключен, и браузер не отвечает через ipv6 после этого. Когда я останавливаю ip6table, все снова в порядке. Не могли бы вы мне помочь пожалуйста?

     ip6tables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all      lo     any     anywhere             anywhere
    0     0 ACCEPT     ipv6-icmp    any    any     anywhere             anywhere            ipv6-icmp echo-request limit: avg 15/sec burst 5
    0     0 DROP       tcp      any    any     anywhere             anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
    7   612 ACCEPT     all      any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp      any    any     anywhere             anywhere            tcp dpt:ftp state NEW
    0     0 ACCEPT     tcp      any    any     anywhere             anywhere            tcp dpt:ssh state NEW
    0     0 ACCEPT     tcp      any    any     anywhere             anywhere            tcp dpt:smtp state NEW
    0     0 ACCEPT     tcp      any    any     anywhere             anywhere            tcp dpt:http state NEW
    0     0 ACCEPT     tcp      any    any     anywhere             anywhere            tcp dpt:https state NEW
    0     0 ACCEPT     tcp      any    any     anywhere             anywhere            tcp dpts:30000:31000 state NEW
    0     0 ACCEPT     ipv6-icmp    any    any     anywhere             anywhere            ipv6-icmp type 8
    0     0 REJECT     all      any    any     anywhere             anywhere            reject-with icmp6-adm-prohibited

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 4 packets, 608 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all      any    lo      anywhere             anywhere
    0     0 ACCEPT     ipv6-icmp    any    any     anywhere             anywhere            ipv6-icmp echo-reply limit: avg 15/sec burst 5

ipv6

Я не уверен, в чем причина проблемы, мне нужно увидеть дампы трафика, но ваш набор правил выглядит странно. Что это для ICMP типа 8, который вы принимаете? В любом случае вы должны принимать определенные сообщения ICMPv6. Видеть RFC 4890 о том, как правильно фильтровать ICMPv6.

Хотя просто взглянув на правила, нужно знать, что происходит и почему. У меня сложилось впечатление, что правило 3 не выполняет то, что вы от него ожидаете (отбрасывает каждый пакет, который создает новую запись conntrack, но имеет установленные флаги RST, ACK или FIN, или флаг SYN не установлен).

Для дальнейшей отладки я предлагаю вам добавить -j LOG tragets перед правилом номер 3 и перед окончательным отклонением в вашей цепочке INPUT.

iptables -I INPUT 3 -p tcp --tcp-flags ! FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG

iptables -I INPUT 12 -j LOG --log-prefix "final reject"

LOG - это «непрерывная цель», т. Е. Обход правила продолжается со следующего правила.