Demande #6454
ferméproblème de connectivité IPv6 vers les services web
0%
Description
wget -6 http://paste.chapril.org --2024-06-04 21:25:34-- http://paste.chapril.org/ Resolving paste.chapril.org (paste.chapril.org)... 2a01:4f8:222:664::93 Connecting to paste.chapril.org (paste.chapril.org)|2a01:4f8:222:664::93|:80... connected. HTTP request sent, awaiting response... 301 Moved Permanently Location: https://paste.chapril.org/ [following] --2024-06-04 21:25:34-- https://paste.chapril.org/ Connecting to paste.chapril.org (paste.chapril.org)|2a01:4f8:222:664::93|:443... failed: Connection refused. Resolving paste.chapril.org (paste.chapril.org)... 2a01:4f8:222:664::93 Connecting to paste.chapril.org (paste.chapril.org)|2a01:4f8:222:664::93|:443... failed: Connection refused.
Demandes liées 3 (3 ouvertes — 0 fermée)
Mis à jour par pitchum . il y a environ un mois
- Statut changé de Nouveau à Résolu
- Assigné à mis à pitchum .
C'était une régression causée par mes modifs sur #5614 "Rendre le service XMPP joignable sur le port 443".
Sur bastion, nginx n'écoutait plus que en IPv4 :(
Mis à jour par pitchum . il y a environ un mois
- Lié à Anomalie #6452: Date Chapril sondage classique ajouté
Mis à jour par pitchum . il y a environ un mois
- Lié à Anomalie #6446: Date Chapril sondage classique ajouté
Mis à jour par pitchum . il y a environ un mois
- Lié à Demande #6449: Re Date Chapril sondage classique ajouté
Mis à jour par Quentin Gibeaux il y a environ un mois
autre anomalie, sur les hosts persan et korat, les règles suivantes ne sont pas appliquées dans le parefeu, elles sont appliquées dans ip6tables mais pas ip6tables-legacy :
-A INPUT -j LIBVIRT_INP -A FORWARD -j LIBVIRT_FWX -A FORWARD -j LIBVIRT_FWI -A FORWARD -j LIBVIRT_FWO -A OUTPUT -j LIBVIRT_OUT -A LIBVIRT_FWI -d 2a01:4f8:222:664::/64 -o virbr0 -j ACCEPT -A LIBVIRT_FWI -o virbr0 -j REJECT --reject-with icmp6-port-unreachable -A LIBVIRT_FWO -s 2a01:4f8:222:664::/64 -i virbr0 -j ACCEPT -A LIBVIRT_FWO -i virbr0 -j REJECT --reject-with icmp6-port-unreachable -A LIBVIRT_FWX -i virbr0 -o virbr0 -j ACCEPT -A LIBVIRT_INP -i virbr0 -p udp -m udp --dport 547 -j ACCEPT -A LIBVIRT_INP -i virbr0 -p udp -m udp --dport 53 -j ACCEPT -A LIBVIRT_INP -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT -A LIBVIRT_OUT -o virbr0 -p udp -m udp --dport 546 -j ACCEPT -A LIBVIRT_OUT -o virbr0 -p udp -m udp --dport 53 -j ACCEPT -A LIBVIRT_OUT -o virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
Mis à jour par Pierre-Louis Bonicoli il y a environ un mois
Une incohérence au niveau des versions d'iptables ?
=(^-^)=root@korat:~# ls -l /etc/alternatives/ip6tables lrwxrwxrwx 1 root root 23 Aug 27 2023 /etc/alternatives/ip6tables -> /usr/sbin/ip6tables-nft =(^-^)=root@korat:~# ls -l /etc/alternatives/iptables lrwxrwxrwx 1 root root 25 Feb 10 15:42 /etc/alternatives/iptables -> /usr/sbin/iptables-legacy
Mis à jour par pitchum . il y a environ un mois
Pierre-Louis Bonicoli a écrit (#note-6):
Une incohérence au niveau des versions d'iptables ?
Oui probablement.
Je viens d'harominser ça avec update-alternatives --config ip6tables.
Mais ça ne suffit pas encore à restaurer le fonctionnement d'ipv6 entre les VMs...
Mis à jour par Quentin Gibeaux il y a environ un mois
pitchum . a écrit (#note-7):
Pierre-Louis Bonicoli a écrit (#note-6):
Une incohérence au niveau des versions d'iptables ?
Oui probablement.
Je viens d'harominser ça avecupdate-alternatives --config ip6tables.
Mais ça ne suffit pas encore à restaurer le fonctionnement d'ipv6 entre les VMs...
Il faut peut être redémarrer pour tout réexécuter au propre, y'avait les règles "LIBVIRT_FW*" plus haut qui étaient appliquées en nft mais pas en legacy
Mis à jour par Pierre-Louis Bonicoli il y a 13 jours
- Version cible changé de Backlog à Sprint 2024 juin