我正在尝试启动传出的 IPv6 路由,但我的问题是 conntrack 无法正常工作。
我已经通过 tcpdump 转储了流量,它向我显示了数据包传到外面(例如内部接口 -> 路由器 -> isp)并且我收到了响应(isp -> 路由器)。
我确实有一个针对除 443 之外的所有传入流量的通用锁定规则,但我也有一个规则允许之前所有已建立或相关的流量:
-A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -i eth1 -j lockout
如果我删除锁定规则,一切都会按预期工作,但我无法阻止任何其他通过路由器的流量。
查看输出时,conntrack -L -f ipv6没有列出任何流。
模块已加载:
lsmod 显示:
nf_reject_ipv6 16384 1 ip6t_REJECT
nf_conntrack_ipv6 20480 3
nf_defrag_ipv6 36864 2 openvswitch,nf_conntrack_ipv6
nf_conntrack 110592 10 ip_vs,nf_conntrack_proto_gre,openvswitch,nf_nat,nf_nat_ipv4,xt_conntrack,nf_conntrack_netlink,xt_connmark,nf_conntrack_ipv4,nf_conntrack_ipv6
内核版本:
Linux router 4.3.3-1.el7.elrepo.x86_64 #1 SMP Tue Dec 15 11:18:19 EST 2015 x86_64 x86_64 x86_64 GNU/Linux
操作系统:
CentOS 7
是我搞错了什么吗?还是它根本不起作用?我该在哪里查找问题所在?