Архив метки: iptables

Снова немного iptables’а, на сей раз со вкусом IPv6

Еще один косяк словил при непродуманной работе с iptables’ом. В interfaces у меня описан 6to4-адрес – думаю в будущем использовать ipv6 на хостах, но пока повесил его только на внешний интерфейс сервера.

Глянув снаружи на адрес, увидел, что службы NFS-сервера теперь прекрасно видятся с внешнего мира. Решил это запретить через ip6tables -P INPUT DROP. Сделал, проверил – все ок, лег спать.

Наутро заметил, что в munin с dom0 один из графиков оборвался – график сдвига времени в ntp относительно мирового.

Что произошло: все осталось работать, так как работает через ipv4 и там правила корректно прописаны. Плагин ntp_kernel_pll_off дергает ntpq, который пытается обратиться к местному ntpd прежде всего по ipv6-адресу, видя, что тот слушает и ipv6-сеть. В итоге обламывается, так как политика для INPUT подразумевает отброс вообще любого входящего трафика, в том числе и для localhost’а, если не задано другое.

В общем, надо быстрее осваивать IPv6 и уже корректно оформлять все правила с учетом двух стеков 🙂

Пофиксил глючащий DHCP на сервере

(На самом деле нет) (с)

Собственно, сам по себе DHCP не глючил, путаница возникла из-за особенностей правил iptables. Я получал IP-адрес устройством один раз, а потом DHCP-сервер (поставил udhcpd) переставал откликаться на запросы. Грешил на udhcpd, думал ставить полноценную версию; временно использовал Tp-link 6020 как DHCP-сервер и так далее. Проблема оказалась немного в другом месте 🙂

Читать далее Пофиксил глючащий DHCP на сервере

Перешел на NFLOG в iptables

Решил добить проблему спама iptables’ом отброшенными пакетами системных логов. Логи сами по себе полезны (правда, стоит провести реорганизацию), но разрастаются до совсем уж неприличных размеров.

Читать далее Перешел на NFLOG в iptables