Фильтрация IPv6

Skip to end of metadata
Go to start of metadata

Согласно памятке оператора связи мы реализовали поддержку разбора записей IPv6-адресов из реестра и фильтрацию IP адресов по всем протоколам.

Требования к работе IPv6 фильтрации

  1. Работающий протокол IPv6 в сети оператора связи: абоненты должны иметь возможность получить IPv6 адрес и успешно осуществлять соединения по этому протоколу.
  2. Подать зеркалированый IPv6-трафик на порт Carbon Reductor DPI.
    1. В случае L2 зеркала (с порта коммутатора) (вне зависимости от VLAN) ничего не требуется менять. Если L2-зеркало было настроено на Linux-маршрутизаторе с помощью утилиты tc - настроить IPv6 по аналогии не получится.
    2. В случае L3 зеркала (на IP адрес Carbon Reductor DPI) необходимо донастроить маршрутизатор для отправки и добавить IPv6 адрес на интерфейс для приёма зеркала. Мастер настройки сети сейчас это не поддерживает, необходимо редактировать конфигурацию интерфейса вручную.
  3. На Carbon Reductor DPI требуется настроить белый IPv6-адрес (не link-local вида FE80::/10) на интерфейсе, который отправляет Reject-ответы на запросы клиентов оператора связи к запрещённым ресурсам.
  4. Убедитесь что абоненты доступны для сервера Carbon Reductor DPI с помощью утилиты ping6.
  5. Включите опцию IPv6 в настройках Carbon Reductor DPI.

Включить опцию IPv6

menu -> Reductor -> Настройка алгоритма фильтрации -> Фильтровать IPv6

И выполнить рестарт редуктора.

chroot /app/reductor/
service reductor restart

Возможные проблемы и решения

Проблема Решение
Ошибки в конфигурации сетевых интерфейсов.
Внимательно смотреть на ошибки, возникающие при выполнении команды service network restart
IPv6 идёт мимо зеркала Проверять настроенное зеркало трафика с помощью тестовой машины, curl и tcpdump.
При обращении в техподдержку прикрепляйте схему сети и настройки зеркала трафика.
Трафик не попадает из mangle PREROUTING в
filter FORWARD.
Скорее всего есть ошибки в настройках маршрутизации. Попробуйте выполнить
ip -6 route get $ip-адрес-тестовой-машины
ip -6 route get $ip-адрес-запрещённого-ресурса
Если одна из этих команд выполняется с ошибкой - нужно её исправить.
Трафик всё ещё не попадает
из mangle PREROUTING в filter FORWARD.
Иногда после исправления проблем с маршрутизацией проблема сохраняется до тех пор, пока 
не будет перезапущен контейнер с редуктором с помощью команды /app/reductor/service restart
Мы сейчас изучаем что именно приводит к такому эффекту.
Если в сети которая подается зеркалом для анализа присутствует ipv6 автоконфиг, то при установках по умолчанию CentOS 6, интерфейс принимающий зеркало трафика считывает автоконфиг.
Вследствие этого, Reductor может пытаться отправить пакет с этого интерфейса, что является некорректной работой.
Исправить можно указав "net.ipv6.conf.eth1/5.disable_ipv6 = 1" в sysctl в случае когда eth1/5 - это точка  захвата трафика.
Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.