Demande #6454
fermé
problème de connectivité IPv6 vers les services web
Ajouté par Pierre-Louis Bonicoli il y a 6 mois.
Mis à jour il y a 5 mois.
Description
wget -6 http://paste.chapril.org
--2024-06-04 21:25:34-- http://paste.chapril.org/
Resolving paste.chapril.org (paste.chapril.org)... 2a01:4f8:222:664::93
Connecting to paste.chapril.org (paste.chapril.org)|2a01:4f8:222:664::93|:80... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: https://paste.chapril.org/ [following]
--2024-06-04 21:25:34-- https://paste.chapril.org/
Connecting to paste.chapril.org (paste.chapril.org)|2a01:4f8:222:664::93|:443... failed: Connection refused.
Resolving paste.chapril.org (paste.chapril.org)... 2a01:4f8:222:664::93
Connecting to paste.chapril.org (paste.chapril.org)|2a01:4f8:222:664::93|:443... failed: Connection refused.
- Statut changé de Nouveau à Résolu
- Assigné à mis à pitchum .
C'était une régression causée par mes modifs sur #5614 "Rendre le service XMPP joignable sur le port 443".
Sur bastion, nginx n'écoutait plus que en IPv4 :(
autre anomalie, sur les hosts persan et korat, les règles suivantes ne sont pas appliquées dans le parefeu, elles sont appliquées dans ip6tables mais pas ip6tables-legacy :
-A INPUT -j LIBVIRT_INP
-A FORWARD -j LIBVIRT_FWX
-A FORWARD -j LIBVIRT_FWI
-A FORWARD -j LIBVIRT_FWO
-A OUTPUT -j LIBVIRT_OUT
-A LIBVIRT_FWI -d 2a01:4f8:222:664::/64 -o virbr0 -j ACCEPT
-A LIBVIRT_FWI -o virbr0 -j REJECT --reject-with icmp6-port-unreachable
-A LIBVIRT_FWO -s 2a01:4f8:222:664::/64 -i virbr0 -j ACCEPT
-A LIBVIRT_FWO -i virbr0 -j REJECT --reject-with icmp6-port-unreachable
-A LIBVIRT_FWX -i virbr0 -o virbr0 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p udp -m udp --dport 547 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A LIBVIRT_INP -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p udp -m udp --dport 546 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A LIBVIRT_OUT -o virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
Une incohérence au niveau des versions d'iptables ?
=(^-^)=root@korat:~# ls -l /etc/alternatives/ip6tables
lrwxrwxrwx 1 root root 23 Aug 27 2023 /etc/alternatives/ip6tables -> /usr/sbin/ip6tables-nft
=(^-^)=root@korat:~# ls -l /etc/alternatives/iptables
lrwxrwxrwx 1 root root 25 Feb 10 15:42 /etc/alternatives/iptables -> /usr/sbin/iptables-legacy
Pierre-Louis Bonicoli a écrit (#note-6):
Une incohérence au niveau des versions d'iptables ?
Oui probablement.
Je viens d'harominser ça avec update-alternatives --config ip6tables.
Mais ça ne suffit pas encore à restaurer le fonctionnement d'ipv6 entre les VMs...
pitchum . a écrit (#note-7):
Pierre-Louis Bonicoli a écrit (#note-6):
Une incohérence au niveau des versions d'iptables ?
Oui probablement.
Je viens d'harominser ça avec update-alternatives --config ip6tables.
Mais ça ne suffit pas encore à restaurer le fonctionnement d'ipv6 entre les VMs...
Il faut peut être redémarrer pour tout réexécuter au propre, y'avait les règles "LIBVIRT_FW*" plus haut qui étaient appliquées en nft mais pas en legacy
- Version cible changé de Backlog à Sprint 2024 juin
- Statut changé de Résolu à Fermé
Formats disponibles : Atom
PDF