Снова немного iptables’а, на сей раз со вкусом IPv6

Еще один косяк словил при непродуманной работе с iptables’ом. В interfaces у меня описан 6to4-адрес — думаю в будущем использовать ipv6 на хостах, но пока повесил его только на внешний интерфейс сервера.

Глянув снаружи на адрес, увидел, что службы NFS-сервера теперь прекрасно видятся с внешнего мира. Решил это запретить через ip6tables -P INPUT DROP. Сделал, проверил — все ок, лег спать.

Наутро заметил, что в munin с dom0 один из графиков оборвался — график сдвига времени в ntp относительно мирового.

Что произошло: все осталось работать, так как работает через ipv4 и там правила корректно прописаны. Плагин ntp_kernel_pll_off дергает ntpq, который пытается обратиться к местному ntpd прежде всего по ipv6-адресу, видя, что тот слушает и ipv6-сеть. В итоге обламывается, так как политика для INPUT подразумевает отброс вообще любого входящего трафика, в том числе и для localhost’а, если не задано другое.

В общем, надо быстрее осваивать IPv6 и уже корректно оформлять все правила с учетом двух стеков 🙂

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *