Я использую веб-сервер (nginx 1.21.6) на системе Debian 11 с nftables 0.9.8. Моя конфигурация nftables следующая:
table inet filter {
chain input {
type filter hook input priority filter; policy drop;
ip saddr @spamhaus4 counter packets 0 bytes 0 drop
ip6 saddr @spamhaus6 counter packets 0 bytes 0 drop
meta l4proto tcp meta nfproto ipv4 ip saddr @abused counter packets 0 bytes 0 drop
ip daddr 46.38.148.0-46.38.151.255 drop
iif "lo" log group 2 accept
iif != "lo" ip daddr 127.0.0.0/8 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback"
iif != "lo" ip6 daddr ::1 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback"
ct state established,related log group 2 accept
ct state invalid counter packets 47 bytes 2572 drop
tcp dport { 25, 80, 143, 443, 587, 2772, 9980, 45907 } log group 2 accept
ip protocol icmp icmp type { echo-reply, destination-unreachable, echo-request, router-advertisement, router-solicitation, time-exceeded, parameter-problem } log group 2 accept
ip6 nexthdr ipv6-icmp icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, echo-request, echo-reply, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert } log group 2 accept
ip6 nexthdr ipv6-icmp log group 2 accept
counter packets 2686 bytes 421604 drop
}
chain IPSinput {
type filter hook input priority filter + 10; policy drop;
counter packets 88448 bytes 15799025 queue num 0-3 bypass,fanout
}
chain forward {
type filter hook forward priority filter; policy drop;
}
chain output {
type filter hook output priority filter; policy accept;
}
chain IPSoutput {
type filter hook output priority filter + 10; policy drop;
counter packets 76196 bytes 201278628 queue num 0-3 bypass,fanout
}
}
Брандмауэр nftables работает отлично.
Однако мой сервер(ы) nginx недоступен через IPv6. Я использовал различные инструменты проверки IPv6 (например,https://ipv6-test.com/validate.php) а такжеQualys ssltestне могу получить доступ к серверу через IPv6, однако IPv4 работает нормально. Я включил директиву listen [::]:80;(resp. listen [::]:443;в каждый из моих серверов nginx. И netstat -anlp |grep nginxдает
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 48846/nginx: master
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 48846/nginx: master
tcp 0 0 192.168.42.98:443 93.104.163.178:39001 VERBUNDEN 48847/nginx: worker
tcp 0 0 192.168.42.98:443 93.104.163.178:39368 VERBUNDEN 48847/nginx: worker
tcp 0 0 192.168.42.98:443 93.104.163.178:43086 VERBUNDEN 48847/nginx: worker
tcp6 0 0 :::80 :::* LISTEN 48846/nginx: master
tcp6 0 0 :::443 :::* LISTEN 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160451 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160453 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160450 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160448 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160452 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160446 48846/nginx: master
unix 3 [ ] STREAM VERBUNDEN 160449 48846/nginx: master
На моем роутере я тоже активировал IPv6.
Есть ли у кого-нибудь идеи, в чем может быть проблема?
решение1
Благодаря комментарию @Zoredache к моему вопросу, я попытался пинговать IPv6-адрес моего хоста. Он работал только внутри моей домашней сети. Когда я пытался пинговать его черезподсетьОнлайнили другой сайт, это не сработало.
Затем я нашел этот ответ на unix.stackoverflow.com:https://unix.stackexchange.com/a/443380/520989. Я отредактировал /etc/dhcpcd.confфайл и заменил slaac privateна slaac hwaddr. Заставив мой маршрутизатор (Fritzbox 7583) забыть о предыдущей конфигурации и перезагрузив мой сервер, это действительно решило мою проблему! Теперь мой сервер полностью доступен через IPv6 (также nginx)!