Вы просматриваете старую версию данной страницы. Смотрите текущую версию.
Сравнить с текущим |
просмотр истории страницы
В связи со скорым добавлением в реестр РКН IPv6-адресов мы реализовали поддержку разбора этих записей из реестра и фильтрацию IP адресов по всем протоколам.
Требования к работе IPv6 фильтрации
- Работающий протокол IPv6 в сети оператора связи: абоненты должны иметь возможность получить IPv6 адрес и успешно осуществлять соединения по этому протоколу.
- Подать зеркалированый IPv6-трафик на порт редуктора.
- В случае L2 зеркала (с порта коммутатора) (вне зависимости от VLAN) ничего не требуется менять. Если L2-зеркало было настроено на Linux-маршрутизаторе с помощью утилиты tc - настроить IPv6 по аналогии не получится.
- В случае L3 зеркала (на IP адрес редуктора) необходимо донастроить маршрутизатор для отправки и добавить IPv6 адрес на интерфейс для приёма зеркала. Мастер настройки сети сейчас это не поддерживает, необходимо редактировать конфигурацию интерфейса вручную.
- На редукторе требуется настроить белый IPv6-адрес (не link-local вида FE80::/10) на интерфейсе, который отправляет Reject-ответы на запросы клиентов оператора связи к запрещённым ресурсам.
- Убедитесь что абоненты доступны для сервера Carbon Reductor с помощью утилиты ping6.
- Включите опцию IPv6 в настройках Carbon Reductor.
Включить опцию IPv6
menu -> Reductor -> Настройка алгоритма фильтрации -> Фильтровать IPv6
И выполнить рестарт редуктора.
chroot /app/reductor/ service reductor restart
Советы от пользователей
Если в сети которая скидывается зеркалом для анализа гуляет ipv6 автоконфиг, то , при установках по умолчанию CentOS 6 и интерфейс в мироре хватает автоконфиг.
Дальше, по крайней мере в нашем случае, блокиратор пытался отправить пакет с этого интерфейса, что у него конечно не получалось . (у нас же там мирор).
Мы вылечили простейшим net.ipv6.conf.eth1/5.disable_ipv6 = 1 в sysctl для случая когда 1.5 это точка перехвата трафика.