在centos 6节点上运行以下代码(运行openvz内核)
ip6tables -F ip6tables -X ip6tables -P FORWARD DROP ip6tables -A FORWARD -p tcp -m multiport --dports 21,22,80,443 -j ACCEPT ip6tables -A FORWARD -p udp -m multiport --dports 21,22,80,443 -j ACCEPT ip6tables -A FORWARD -p ipv6-icmp -j ACCEPT
但是,这似乎禁用了从openvz VPS向外连接到节点或互联网的ipv6连接,而在端口扫描器上,它将所有端口显示为被防火墙过滤/阻止。
但是,从节点内的VPS ping到VPS工作正常。
我所要做的就是放弃所有转发,并接受上面显示的多个端口,并允许ipv6连接通过。
这绝对是ip6tables的问题,因为当我停止ip6tables,它运行良好,ping是绝对好的。
你的帮助表示赞赏。
问题是你的防火墙不是有状态的,它只允许stream量向一个方向传递。 这里没有什么可以允许返回的stream量。 所以,当一个客户端请求被传递时,来自服务器的响应不符合任何规则并被丢弃。
写出正常的有状态规则。 例如:
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -m multiport --dports 21,22,80,443 -j ACCEPT
第二个规则允许初始连接尝试,并且第一个规则允许所有剩余的stream量,只要连接保持打开。 首先是因为它会匹配得最频繁,并且首先让事情变得更快。
你的ICMP规则是好的,应该保持原样。