来自 0001 和本地链路 (FE80::1) 的 IPv6 流量

来自 0001 和本地链路 (FE80::1) 的 IPv6 流量

尝试使用 ip6tables 获取 IPv6 的基本防火墙设置(这是在 Ubuntu 服务器 16.04 上)。在 INPUT 链上,每当有客户端发起的 IPv6 流量(例如运行“apt update”)时,我都会从我假设的网关处收到大量数据包:来自与我的 IP 地址相同的网络地址,但以 ::1 [64 位 0 以 1 结尾] 结尾)。如果我丢弃这些流量,事情就会运行缓慢(例如“apt update”需要很长时间才能(成功)完成)。如果我让这些数据包进入,一切都很正常。

问题是我已经阅读了大量有关配置 ip6tables 的内容,但到目前为止我所读到的任何内容都没有提到这个不属于 --ctstate ESTABLISHED,RELATED 的传入“网关”流量。

此外,在此来回过程中,我收到了一些来自本地链路地址 (fe08::1) 的数据包,这些数据包发往我的实际公共 IP 地址。根据我的规则,这些数据包也被丢弃。

以下是我的 IPv6 规则:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED
-A INPUT -j LOG --log-prefix "IPv6-DROP="
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

非常基本的初始设置。如果 IPv6 配置应该接受来自 NETWORK-ADDRESS::1 和 fe08::1 的传入信息,那么为什么教程网站和示例没有指出这一点?我只有在请求某些东西(例如“apt update”)时才会被这些数据包轰炸。那么,它们不应该包含在 ctstate RELATED、ESTABLISHED 或 lo 中吗?

答案1

如果 IPv6 配置应该接受来自 NETWORK-ADDRESS::1 和 fe08::1 的传入信息,为什么教程网站和示例没有指出这一点?

正如您所猜测的,fe80::1这是默认网关的地址。我猜教程没有指出您不应该阻止来自默认网关的流量,因为这太明显了。

相关内容