|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (11)
просмотр истории страницыНа текущий момент реализована фильтрация только HTTP-ресурсов. |
В связи со скорым добавлением в реестр РКН IPv6-адресов для работы добавлены новые функции фильтрации. |
|
Включить фильтрацию: |
|
h1. Требования к работе IPv6 фильтрации # Работающий протокол IPv6 в сети оператора связи: абоненты должны иметь возможность получить IPv6 адрес и успешно осуществлять соединения по этому протоколу. # Подать зеркалированый IPv6-трафик на порт редуктора. ## В случае L2 зеркала (с порта коммутатора) (вне зависимости от VLAN) ничего не требуется менять. Если L2-зеркало было настроено на Linux-маршрутизаторе с помощью утилиты tc - настроить IPv6 по аналогии не получится. ## В случае L3 зеркала (на IP адрес редуктора) необходимо донастроить маршрутизатор для отправки и добавить IPv6 адрес на интерфейс для приёма зеркала. Мастер настройки сети сейчас это не поддерживает, необходимо редактировать конфигурацию интерфейса вручную. # На редукторе требуется настроить белый IPv6-адрес (не link-local вида FE80::/10) на интерфейсе, который отправляет Reject-ответы на запросы клиентов оператора связи к запрещённым ресурсам. # Убедитесь что абоненты доступны для сервера Carbon Reductor с помощью утилиты ping6. # Включите опцию IPv6 в настройках Carbon Reductor. h1. Включить фильтрацию |
{code} menu -> Настройка алгоритма фильтрации -> Фильтровать IPv6 |
{code} !2.png|border=1! {code} |
service reductor restart {code} |
Если потребуется что-то большее - создайте тикет в технической поддержке, пока пожеланий на эту тему не поступало. |
|
Имеются проблемы с работой на ядре 2.6.32-358.el6.x86_64, нужно обновиться: |
|
yum \-y install kernel && reboot |
h1. Советы от пользователей |
|
При отладке не забывайте, что смотреть правила по ipv6 нужно утилитой ip6tables, а не iptables\! |
{quote} Если в сети которая скидывается зеркалом для анализа гуляет ipv6 автоконфиг, то , при установках по умолчанию CentOS 6 и интерфейс в мироре хватает автоконфиг. Дальше, по крайней мере в нашем случае, блокиратор пытался отправить пакет с этого интерфейса, что у него конечно не получалось . (у нас же там мирор). Мы вылечили простейшим net.ipv6.conf.eth1/5.disable_ipv6 = 1 в sysctl для случая когда 1.5 это точка перехвата трафика. {quote} |