ip6tables вперед цепочка фильтрует все порты
Попытка следования песни 6 узлов (работающий openvz ядро)
ip6tables -F ip6tables -X ip6tables -P FORWARD DROP ip6tables -A FORWARD -p tcp -m multiport --dports 21,22,80,443 -j ACCEPT ip6tables -A FORWARD -p udp -m multiport --dports 21,22,80,443 -j ACCEPT ip6tables -A FORWARD -p ipv6-icmp -j ACCEPT
Однако это, кажется, отключает ipv6 возможность соединения от openvz VPS за пределы к узлу или Интернету, и на сканере портов это показывает все порты, как фильтровал/блокировал брандмауэром.
Однако проверка с помощью ping-запросов vps из узла к VPS хорошо работает.
Все, что я пытаюсь сделать, должно отбросить, все передают, и принимают несколько портов, показанных выше, и позволяют ipv6 возможности соединения проходить.
Это - определенно проблема ip6tables, как тогда, когда я останавливаю ip6tables, это хорошо работает, и проверка с помощью ping-запросов абсолютно хорошо.
Ваша справка ценится.
Проблема в том, что ваш брандмауэр не отслеживает состояние и разрешает трафику проходить только в одном направлении. Здесь нет ничего, что могло бы разрешить обратный трафик. Таким образом, пока клиентский запрос проходит, ответ сервера не соответствует никаким правилам и отбрасывается.
Вместо этого напишите обычные правила с отслеживанием состояния. Например:
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -m multiport --dports 21,22,80,443 -j ACCEPT
Второе правило разрешает начальную попытку подключения, а первое правило разрешает весь остальной трафик,пока соединение остается открытым. Это во-первых, потому что оно будет совпадать наиболее часто, и если оно будет первым, это ускоряет работу.
Ваше правило ICMP в порядке, и его следует оставить как есть.