На текущий момент реализована фильтрация как HTTP, так и HTTPS-ресурсов.
В списке роскомнадзора явно заданных IP адресов пока нет, но при проверке утилитой запросы к https-ссылкам могут идти по IPv6, так что мы резолвим и в IPv4 и в IPv6.
Требования к работе IPv6 фильтрации:
1. Работа протокола IPv6 в сети оператора связи.
2. В зеркале трафика, который подаётся на редуктор должен быть и IPv6-трафик.
3. На редукторе требуется настроить белый IPv6-адрес(не link-local вида FE80::/10) на интерфейсе, который отправляет Reject-ответы на запросы клиентов оператора связи к запрещённым ресурсам.
4. Настроить маршрутизацию трафика по IPv6.
Включить фильтрацию
menu -> Настройка алгоритма фильтрации -> Фильтровать IPv6
service reductor restart
Проблемы
Имеются проблемы с работой на ядре 2.6.32-358.el6.x86_64, нужно обновиться:
yum -y install kernel && reboot
При отладке не забывайте, что смотреть правила по ipv6 нужно утилитой ip6tables, а не iptables!
Советы от пользователей
Если в сети которая скидывается зеркалом для анализа гуляет ipv6 автоконфиг, то , при установках по умолчанию CentOS 6 и интерфейс в мироре хватает автоконфиг.
Дальше, по крайней мере в нашем случае, блокиратор пытался отправить пакет с этого интерфейса, что у него конечно не получалось . (у нас же там мирор).
Мы вылечили простейшим net.ipv6.conf.eth1/5.disable_ipv6 = 1 в sysctl для случая когда 1.5 это точка перехвата трафика.