IPv6에 대해 rp_filter 완화(#2) 모드를 활성화합니다.

누구든지 해결책이 있습니까?역방향 경로 필터링(느슨한 모드에서) 다음에도 작동합니다.IPv6IPv4뿐만 아니라?

내 설정은 머신 1이 머신 2에 직접 연결되고 머신 1도 외부 네트워크에 연결된다는 것입니다.

대상 트래픽은 다음과 같습니다. 외부 네트워크의 클라이언트는 machine1에 요청을 보낸 다음 machine1이 요청을 machine2에 전달합니다.

명백한 질문:패킷이 machine1에 의해 처리되면 machine2에 연결된 포트로 전달되지만 클라이언트의 소스 IP가 사용됩니다. 이는 일반적으로 IP를 스푸핑하는 것으로 간주됩니다. 하지만 이것이 바로 rp_filter의 용도입니다. 그렇죠?

일반적으로 machine1에서는 이 작업을 수행합니다(IPv4의 경우). echo 2 > /proc/sys/net/ipv4/conf/<interface_to_outside_net>/rp_filter 모든 것이 작동하지만 IPv6의 경우에는 rp_filter가 아직 IPv6용 커널에 구현되지 않았기 때문에 그렇지 않습니다. 내가 아는 유일한 해결책은 ip6tables를 설정하는 것입니다.

현재 설정: ip6tables -t raw -N RPFILTER ip6tables -t raw -A RPFILTER -m rpfilter -j RETURN ip6tables -t raw -A RPFILTER -m rpfilter --loose -j ACCEPT ip6tables -t raw -A PREROUTING -j RPFILTER

그러나 어떤 이유로 트래픽이 machine2에 도달하지 못하고 클라이언트 측에서 시간 초과가 발생합니다.

machine1에서 tcpdump를 사용하면 TCP 핸드셰이크에 대한 SYN만 얻습니다.

14:18:50.390292 IP6 fd11:3456:789a:1::4.34184 > fd12:3456:789a:1::1.1111: Flags [S], seq 701159610, win 28800, options [mss 1440,sackOK,TS val 6066549 ecr 0,nop,wscale 7], length 0

다른 사람은 없어...

어떤 제안이 있으십니까?