|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (24)
просмотр истории страницыВ связи со скорым добавлением в реестр РКН IPv6-адресов для работы добавлены новые функции фильтрации. |
Согласно памятке оператора связи мы реализовали поддержку разбора записей IPv6-адресов из реестра и фильтрацию IP адресов по всем протоколам. |
|
h1. Требования к работе IPv6 фильтрации: |
|
1. Работа протокола IPv6 в сети оператора связи. 2. В зеркале трафика, который подаётся на редуктор должен быть и IPv6-трафик. |
# Работающий протокол IPv6 в сети оператора связи: абоненты должны иметь возможность получить IPv6 адрес и успешно осуществлять соединения по этому протоколу. # Подать зеркалированый IPv6-трафик на порт Carbon Reductor DPI. ## В случае L2 зеркала (с порта коммутатора) (вне зависимости от VLAN) ничего не требуется менять. Если L2-зеркало было настроено на Linux-маршрутизаторе с помощью утилиты tc - настроить IPv6 по аналогии не получится. ## В случае L3 зеркала (на IP адрес Carbon Reductor DPI) необходимо донастроить маршрутизатор для отправки и добавить IPv6 адрес на интерфейс для приёма зеркала. Мастер настройки сети сейчас это не поддерживает, необходимо редактировать конфигурацию интерфейса вручную. |
3. # На редукторе Carbon Reductor DPI требуется настроить белый IPv6-адрес (не link-local вида FE80::/10) на интерфейсе, который отправляет Reject-ответы на запросы клиентов оператора связи к запрещённым ресурсам. |
4. Настроить маршрутизацию трафика по IPv6. |
# Убедитесь что абоненты доступны для сервера Carbon Reductor DPI с помощью утилиты ping6. # Включите опцию IPv6 в настройках Carbon Reductor DPI. |
|
h1. Включить опцию IPv6: |
h2. Включить опцию IPv6 |
|
menu -> Reductor -> Настройка алгоритма фильтрации -> Фильтровать IPv6 |
|
menu \-> Reductor \-> Настройка алгоритма фильтрации \-> Фильтровать IPv6 |
|
|
!2.png|border=1! |
И выполнить рестарт редуктора. |
|
h1. Советы от пользователей: |
{code} chroot /app/reductor/ service reductor restart {code} |
|
{quote} Если в сети которая скидывается зеркалом для анализа гуляет ipv6 автоконфиг, то , при установках по умолчанию CentOS 6 и интерфейс в мироре хватает автоконфиг. |
|
Дальше, по крайней мере в нашем случае, блокиратор пытался отправить пакет с этого интерфейса, что у него конечно не получалось . (у нас же там мирор). |
h2. Возможные проблемы и решения |
|
Мы вылечили простейшим net.ipv6.conf.eth1/5.disable_ipv6 = 1 в sysctl для случая когда 1.5 это точка перехвата трафика. |
|| Проблема || Решение || | Ошибки в конфигурации сетевых интерфейсов. \\ | Внимательно смотреть на ошибки, возникающие при выполнении команды service network restart | | IPv6 идёт мимо зеркала | Проверять настроенное зеркало трафика с помощью тестовой машины, curl и tcpdump. \\ При обращении в техподдержку прикрепляйте схему сети и настройки зеркала трафика. | | Трафик не попадает из mangle PREROUTING в \\ filter FORWARD. | Скорее всего есть ошибки в настройках маршрутизации. Попробуйте выполнить \\ ip \-6 route get $ip-адрес-тестовой-машины \\ ip \-6 route get $ip-адрес-запрещённого-ресурса \\ Если одна из этих команд выполняется с ошибкой - нужно её исправить. | | Трафик всё ещё не попадает \\ из mangle PREROUTING в filter FORWARD. \\ | Иногда после исправления проблем с маршрутизацией проблема сохраняется до тех пор, пока \\ не будет перезапущен контейнер с редуктором с помощью команды /app/reductor/service restart \\ Мы сейчас изучаем что именно приводит к такому эффекту. \\ | |
|
|
{quote} |
{info} Если в сети которая подается зеркалом для анализа присутствует ipv6 автоконфиг, то при установках по умолчанию CentOS 6, интерфейс принимающий зеркало трафика считывает автоконфиг. Вследствие этого, Reductor может пытаться отправить пакет с этого интерфейса, что является некорректной работой. Исправить можно указав "net.ipv6.conf.eth1/5.disable_ipv6 = 1" в sysctl в случае когда eth1/5 - это точка захвата трафика. {info} |