Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Od paru dni próbuję dojść do ładu z konfiguracją sieci ale mi coś nie wychodzi. Sprawa wygląda tak, że niektóre usługi działają nie tak jak powinny, np. wyszukiwarka google czy stack exchange. Oba z powyższych używają ipv6 a moja maszyna musi czasem czekać parę min aż będzie można swobodnie przeglądać te stronki.
Ja mam ipv4, przynajmniej przeglądając lease z dhcp nie widzę tam wpisów od ipv6 a znając mojego isp nigdy ipv6 tutaj nie będzie. W każdym razie na wiki piszą, że ipv6 jest rozszerzeniem ipv4 i że w większości przypadków nic nie trza robić by ipv6 się komunikowało z ipv4. W innych miejscach piszą zaś, że jak isp nie ma ipv6 to go powinno się wyłączyć i tak zrobiłem ale ludzi pisali, że lepiej tego nie robić i że stąd mogą być problemy ale u mnie widać to nie ma większego znaczenia bo jest podobnie w obu przypadkach.
Sprawdzam zatem sobie ip6tables w poszukiwaniu czy są tam jakieś pakiety, no bo z tego co znalazłęm, to zwykły iptables filtruje pakiety ipv4 a ten ip6tables filtruje ipv6:
# ip6tables -nvL Chain INPUT (policy ACCEPT 194 packets, 13968 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 203 packets, 13864 bytes) pkts bytes target prot opt in out source destination
No jak byk jest ich parę. Na archwiki pisali by po prostu przenieść reguły z iptables zmieniając tylko w niektórych miejscach odpowiednie wpisy. Przeniosłem odpaliłem, reguły się załadowały. Ale pakiety nie śmigają. jest ich o wiele mniej, a te które złapią się tutaj są blokowane, a nie łapane przez regułkę z RELATED,ESTABLISHED
Tak wygląda ifconfig:
# ifconfig -a eth0 Link encap:Ethernet HWaddr 00:e0:4c:70:03:09 inet addr:10.1.4.41 Bcast:10.1.255.255 Mask:255.255.0.0 inet6 addr: fe80::2e0:4cff:fe75:309/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:214931 errors:0 dropped:0 overruns:0 frame:0 TX packets:292448 errors:0 dropped:0 overruns:7 carrier:0 collisions:0 txqueuelen:1000 RX bytes:45122642 (43.0 MiB) TX bytes:301079553 (287.1 MiB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:17951 errors:0 dropped:0 overruns:0 frame:0 TX packets:17951 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:1432641 (1.3 MiB) TX bytes:1432641 (1.3 MiB)
Ping na localhosta v6 wchodzi:
# ping6 ::1 PING ::1(::1) 56 data bytes 64 bytes from ::1: icmp_seq=1 ttl=64 time=0.041 ms 64 bytes from ::1: icmp_seq=2 ttl=64 time=0.048 ms ^C --- ::1 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 999ms rtt min/avg/max/mdev = 0.041/0.044/0.048/0.007 ms
ale na to ip w inet6 już nie:
# ping6 fe80::2e0:4cff:fe75:309 connect: Invalid argument
Póki co mam włączone ipv6 i nie mam reguł w ip6tables, google chodzi teraz dobrze, ale jak przeniosę reguły z iptables do ip6tables, google zaczyna mulić przy pierwszej próbie wyszukania czegoś. Za to stack exchange działa jak mu się chce.
Czy ten ipv6 ma być włączony czy nie? Jeśli tak to reguły z iptables trzeba przenosić do ip6tables? Czy w tym moim przypadku pakiety ipv6 są filtrowane przez iptables, mimo, że się pojawiają w ip6tables?
Offline
1. pingowanie i inna komunikacja z adresami typu link local wymaga jawnego określenia interfejsu który używamy
2. aby filtrować ruch ipv6 należy korzystać z ip6tables, część reguł będzie podobna do tych z iptables (ale nie jest to przenoszenie 1-1)
3. jeżeli nie masz natywnego adresu od ISP lub tunelu z którego dostajesz adres IPv6 (nie masz routingu ipv6) to nie korzystasz z ipv6 do komunikacji ze światem zewnętrznym ... natomiast w ramach sieci lokalnej urządzenia mogą komunikować się po ipv6 (zapewne głównie icmp6)
Offline
W sumie to większość rzeczy już mi się wyjaśniła:
ping6 -I eth0 fe80::2e0:4cff:fe75:309
Adresy zaczynające się od fe80: to lokalne adresy i nie są routowalne. A te pakiety na łańcuchach są z ICMPv6 i złapała je reguła od icmpv6. Jedyne co mnie zastanawia to czy to może mieć jakiś wpływ na działanie stron co wykorzystują ipv6? No bo czasami mi się zwyczajnie nie ładują.
Offline
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00101 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.149.254.25' WHERE u.id=1 |
0.00059 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.149.254.25', 1732216140) |
0.00055 | SELECT * FROM punbb_online WHERE logged<1732215840 |
0.00070 | SELECT topic_id FROM punbb_posts WHERE id=250786 |
0.00100 | SELECT id FROM punbb_posts WHERE topic_id=24929 ORDER BY posted |
0.00082 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24929 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00074 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24929 ORDER BY p.id LIMIT 0,25 |
0.00194 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24929 |
Total query time: 0.00753 s |