我以为有一个简单的ipv6防火墙,但事实certificate是地狱。 不知何故,我真的不能连接任何ipv6从我的机器,除非我设置INPUT政策接受。 在我目前的ip6tables下面 ip6tables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all anywhere anywhere state RELATED,ESTABLISHED ACCEPT ipv6-icmp anywhere anywhere ACCEPT tcp anywhere anywhere tcp dpt:http ACCEPT tcp anywhere anywhere tcp dpt:https Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 如果我尝试连接任何ipv6 […]
我正在Ubuntu服务器上运行Meteor服务器。 但是当我尝试让Apache在同一台服务器上提供一个子域时,会出现问题。 main.domain.com – >meteor sub.domain.com – > Apache meteor运行在80端口。我以前曾试图让meteor运行在3000端口,并与Nginx的反向代理服务,但meteor开始performance不好(tcp / websockets的问题),我花了太多的夜晚和晚上坚持我的看在自己的份上。 所以我恢复了我的设置,让meteor是主要的服务器(应用程序工作正常),然后安装Apache服务我的子域。 问题是我不能让Apache服务于80端口,因为它似乎超出了我的Meteor服务器。 从经验来看,我尽量避免使用反向代理meteor,但是我不够聪明,不能让Apache把自己专注于我的子域,也不会在我的服务器上压倒“端口80”。 在这种设置中,我怎样才能让两个服务相互配合? 更新: 按照EasyEchobuild议,我转向使用2个不同的IP地址。 让我们知道,我在Rackspace上使用“下一代”云服务器(运行最新的Ubuntu 12.04 LTS与最新的grub2 /更新的内核。 Rackspace不允许在其云服务器上使用其他IP( 源 )… 由OpenStack提供支持的下一代云服务器平台还不支持额外的IP地址。 …但创build服务器时获得1个IPv4和1个IPv6。 那么为什么不跳入IPv6的潮stream呢? 说起来容易做起来难。 所以这里是我的“新问题”:将我的子域映射到IPv6地址(DNS中的AAAA)并configurationApache来侦听IPv6地址后,我得到以下行为: 从我的服务器远程桌面(使用freeNX),在Firefox http:// [my:ip:v6:address] – > Apache(WIN) http:// sub.domain.com – > Apache(WIN) http:// my.ip.v4.address – > Meteor(WIN) http:// main.domain.com – > Apache(FAIL) 从我的工作站(Win7 x64),也在Firefox http:// [my:ip:v6:address] […]
我试图过滤有效负载的某些部分,用于扩展头的IPv6数据包(例如Destination Options)。 即使数据包有扩展头,ip6tables也可以正常工作,如–proto udp或–dport 109 。 Netfilter显然知道如何跳过目的地选项来查找UDP标头。 现在,我想使用u32模块来匹配有效载荷中的一个字节(比如说“我希望有效负载的第三个字节是42)。如果数据包没有扩展头,就像–u32 "48&0x0000ff00=0x2800"̀ 48 = 40个字节的IPv6头+8的UDP头)工作正常,如果数据包有一个目的地选项,它不再匹配。我想写一个规则,无论数据包是否有目的地选项或不。 我没有find一种方式告诉Netfilterparsing,直到UDP头(它能够做的事,否则–dport 109不会工作),然后离开u32parsing其余的。 我正在寻找一个简单的方法,否则,正如BatchyX提到的,我可以编写一个内核模块来做我想做的事情。
我正在build立我的networking来支持IPv6。 我有静态的IPv6地址分配给我的路由器的每个接口,并radvd广告不同的前缀在每个接口。 下一步是让我的dnscache(从djbdns)工作在IPv6上。 说dnscache fefe的IPv6补丁应用,所以我认为它应该与IPv6工作。 但是,我无法在线find有关如何使修补后的dnscache在IPv6上进行侦听的文档。 如何configurationtinydns和dnscache来侦听IPv6呢?
除了每个VPS包含的单个IPv4和IPv6地址外,Linode还提供了不错的大/116 (4096)个IPv6地址块,不需要额外的费用。 通常情况下,对于不需要SSL的普通网站,我可以将许多Alogging指向一个IPv4地址,并configurationApache(或相当的)来做正确的事情,使用Host头获取浏览器需要去。 对于需要SSL的站点,我提供并configuration一个单独的IPv4地址,并适当地指向DNS,因为(假设没有SNI)Web服务器在SSL握手之前不知道要使用哪个证书。 一切顺利。 我想利用Linode提供的地址来创build一些,最终所有的这些网站都是IPv6原生的,我不确定最佳实践。 对于非SSL主机,我应该采用相同的方法吗? 我应该总是分配一个单独的IPv6地址每个主机? 我没有阅读任何告诉我采取任何一种方法。 也许有一个我错过了RFC。 然而, 我的简单朴素(hehe) 问题是这样的 :由于Linode只提供一个单一的“物理”接口( eth0 ),所有额外的IPv4 / v6地址都需要成为虚拟接口( eth0:0 , eth0:1 ,…),有没有一点我最好build议不要添加更多的虚拟地址? 或者,假设该接口尚未饱和,那么将多个(几百个)IPv6地址作为虚拟接口是否没有缺点? (如果我误解了Linode的产品和/或IPv6,我可能会在这里问错误的问题(甚至可能是多个错误的问题),但是希望情况并非如此;)
我有一个问题,在我的Windows 8优先我的IPnetworking使用默认的IPv4。 目前,当我浏览器的IP检测网站,他们显示我的IPv6地址。 我如何改变这种行为? 任何帮助,将不胜感激。 提前致谢。
在我的debian6服务器上是一个只能监听IPv6的进程,但我也需要监听IPv4。 程序似乎只有IPv6。 有没有办法在同一主机上将IPv6stream量路由到IPv4?
我有一个NFQUEUE,用于IPv6数据包,挂在ip6tables的PREROUTING链表中。 一旦我在用户应用程序中收到一个数据包,我修改了标题。 事实上,修改了从IPv6到IPv4的报头,并重新注入了数据包。 但是,从日志中,我发现IPv4数据包正在像IPv6数据包一样被对待。 由于每个NFQUEUE映射到AF_INET或AF_INET6,单个NFQUEUE是否可以处理IPv4和IPv6数据包? 是否有可能从一个队列接收数据包,但插入不同的队列? 这是没有道理的,但我想直接注入一个数据包到IP堆栈的IP头在用户空间格式化。 根据RFC 3542,不build议使用带有IPv6的原始套接字。 我无法使用TUN设备来解决性能问题。 很多数据包正在使用TUN设备。
我在Ubuntu 12.04上遇到了一个与ipv6有关的奇怪问题。 有两个主机,直接连接到互联网。 两者都分配了一个/ 64networking。 它们正确地configuration了一个/ 128端点,而另一端可以ping另一端,反之亦然。 我的计划是终止我分配的ipv6 / 64的一个/ 112子网到接口有足够的地址用于apache2虚拟主机。 但这不是重点。 主持人A: $ ifconfig eth0 Link encap:Ethernet HWaddr (…) inet6 addr: fe80::5246:5dff:(…)/64 Scope:Link inet6 addr: 2a01:xxx:xxx:000A::2/64 Scope:Global $ route -A inet6 Kernel IPv6 routing table Destination Next Hop Flag Met Ref Use If 2a01:xxx:xx:000A::/64 :: U 256 0 0 eth0 fe80::/64 :: U 256 […]
看来,我已经失去了IPv6的概述,所有的新function… 我们拥有3Com / HP OfficeConnect千兆位VPN防火墙(3CREVF100-73),它不支持IPv6。 因为我们正在将我们的电话系统迁移到SIP / VoIP,所以我们将很快购买使用过的IPv6“双栈”3Com / HP 4800G PWR(PoE)48端口交换机。 这个所谓的“第四层交换机”似乎不仅仅是一个交换机。 事实上,这也是一个路由器 – 防火墙的function,如“拒绝服务”预防等。术语“开关”似乎在这里是一个绝对错误的描述这个设备… 不过,我现在的问题是,我今后是否需要一个真正具有IPv6function的防火墙? 还是这个“安全开关”足够像我们这样的小型酒店公司? 如果是,则4800G PWR交换机将直接连接到一个支持IPv6的电缆调制解调器,这样就不会有额外的设备。 最后,“交换机”将充当具有VLAN和防火墙function的双栈DHCP路由器。 不知道为什么,但是这种没有经典防火墙的拓扑结构让我感觉很奇怪…