ip6tables 无法基于端口过滤IPv6 分片报文问题解决

最新推荐文章于 2024-10-05 17:44:10 发布
最新推荐文章于 2024-10-05 17:44:10 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: IPv6协议简介与模块开发 Linux 内核 文章标签: IPv6  ip6tables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuyuande/article/details/85099485
版权

问题现象:使用ip6tables 添加端口过滤规则,只允许指定端口IPv6报文进来,测试结果显示如果是分片报文,只有第一个分片报文能够收到,后续分片会被丢弃。

内核版本:3.4.39

问题原因: 因为同样的规则如果是IPv4分片报文则能够生效,通过分析内核源码,发现问题出在netfilter IPv6连接跟踪模块。

netfilter IPv4 连接跟踪模块会对分片报文进行重组处理使得系统网络协议栈处理的是重组报文,因为iptables添加的规则优先级在连接跟踪后面,所以IPv4 的端口过滤能够生效,因为处理的是重组报文。IPv6的连接跟踪功能同样会出重组分片报文,不过重组后的报文只有netfilter 连接跟踪自己可见,网络协议栈处理的仍然是分片报文,这就使得ip6tables 规则处理的是分片报文。

解决方法:在Linux内核官网上查找更高的版本发现,在3.12.4版本上有一个补丁,这个补丁的作用就是使得IPv6 连接跟踪模块重组报文后直接传递给网络协议栈使用,这样ip6tables就能够基于端口过滤分片报文了。

补丁地址:https://github.com/torvalds/linux/commit/6aafeef03b9d9ecf255f3a80ed85ee070260e1ae#diff-4ee79b665234e6518f6f34a107032118

注意事项:该补丁修改了skbuff.h和skbuff.c文件,为了和现有内核版本兼容,不能够直接拿来使用,只需要将连接跟踪模块相关的处理去掉就ok了。

author	Jiri Pirko <jiri@resnulli.us>	2013-11-06 17:52:20 +0100
committer	David S. Miller <davem@davemloft.net>	2013-11-11 00:19:35 -0500
commit	6aafeef03b9d9ecf255f3a80ed85ee070260e1ae (patch)
tree	48c7f8ff1709c9874342c02c7039d4431a00b333
parent	9037c3579a277f3a23ba476664629fda8c35f7c4 (diff)
download	linux-6aafeef03b9d9ecf255f3a80ed85ee070260e1ae.tar.gz
netfilter: push reasm skb through instead of original frag skbs

 

yyyyyyyuande
关注
专栏目录
IPv6地址之间的转换技术:NAT66
网络技术联盟站
03-26 2618
NAT66,全称为Network Address Translation for IPv6 to IPv6,是一种用于IPv6网络的地址转换技术。在IPv6网络中,每个设备都被分配一个全局唯一的IPv6地址,这样的地址长度为128位。NAT66的作用是通过将内部设备的IPv6地址映射到另一组IPv6地址来实现地址转换,使得内部设备可以访问外部网络,同时保护内部网络的真实IPv6地址不被外部直接暴露。
网络协议 — IPv6 互联网协议第 6 版
烟云的计算
06-08 3456
描述IPv4IPv6地址长度为 32 位(4 个字节)。地址由网络和主机部分组成,这取决于地址类。根据地址的前几位,可定义各种地址类:A、B、C、D 或 E。IPv4 地址的总数为 4 294 967 296。IPv4 地址的文本格式为 nnn.nnn.nnn.nnn,其中 0
ipv6以及ip6tables的nat转发
banchan5444的博客
02-28 5512
一、IPV6   IPv6是英文“Internet Protocol Version 6”(互联网协议第6版)的缩写,是互联网工程任务组(IETF)设计的用于替代IPv4的下一代IP协议,其地址数量号称可以为全世界的每一粒沙子编上一个地址。 由于IPv4最大的问题在于网络地址资源有限,严重制约了互联网的应用和发展。IPv6的使用,不仅能解决网络地址资源数量的问题,而且也解决了多种接入...
ubuntu22.04中备份Iptables的设置
最新发布
liudong200618的博客
10-05 428
安装过程中,它会询问您是否要保存当前的规则,并在系统启动时自动加载这些规则。是最简单和推荐的方法,因为它会自动处理规则的保存和恢复。来管理网络配置,那么您可能需要使用其他方法。例如,要将规则保存到。这样,在网络接口启动之前,系统会自动执行。文件中添加命令来恢复规则。在 Ubuntu 22.04 中备份。: 您可以创建一个启动脚本,例如在。文件,在对应的网络接口部分添加。这样,您就可以在需要的时候通过。对于 IPv6 规则,使用。是一个用于保存和恢复。
iptables与IP报文分片浅析
jiayu的博客
04-07 2920
背景 192.168.0.11(iperf 服务端) 192.168.0.10(iperf 接收端) ​ 系统因会发送大于MTU的UDP组播包,且用户基于都是基于UDP带端口的组播,但是由于UDP分片抓包后,经wireshark分析,分片携带的数据是不会带源目端口,只有首包带,用户怀疑分片iptables隔离导致无法正常接收数据包,故而进行此时分片iptables过滤测试 配置iptables # 192.168.0.11,由于设置为发送UDP数据,故而仅设置OUTPUT即可,因接收端
ip6tables: command not found 解决方法
醉世老翁的博客
11-01 2251
以前扫描木马病毒的时候,ip6tables文件被感染,给删除掉了, 现在安装一些东西需要用到ip6ables,对比其他服务器发现,是用的软连接,尝试过之后还是不行,rpm -qf /sbin/ip6ables 也没有发现是哪个包的,只能看到是iptables包的,一直以为是iptables包的,卸载重装就好了,卸载iptables后还是不行,今天偶然看见了,iptables-ipv6,这个命令是ipv6的控制明白,但是没想到包也是单独的了,重新安装即可。 问题情况 安装iptables-ipv6
iptables/ip6tables数据包根过滤数据包笔记
superbfly的专栏
04-01 1304
Iptables下length模块可对数据包的长度进行匹配。 length使用参数: -m length --length num #匹配指定大小的数据 -m length ! --length num #匹配非指定大小数据 -m length --length num: #匹配大于或等于 -m length --length :92 #匹配小于或等于 -m length --length num:num #匹配指定区间 示例: iptables -I INPUT -p icmp -m length --
ip数据包转发和iptables
j5856004的博客
05-02 2722
Linux内核数据包转发功能和iptables的关系 内核数据包转发(路由)功能是内核将从A网卡接收到的目的地址不是自身地址的ip数据包通过B网卡发送出去的功能(即路由器的功能)。 使用以下命令即可开启内核对ipv4数据包的路由功能 # 如果有sysctl命令 sysctl net.ipv4.ip_forward=1 # 如果没有sysctl命令 echo 1 > /proc/sys/net/ipv4/ip_forward 内核将根据路由表将接收到的非自身ip的数据包按照路由表中的规则进行转发,转发
IPV6、环回地址(loopback address)
如果你真的想做一件事,你一定会找到方法; 如果你不想做一件事,你一定会找到借口。
07-16 9482
[b]IPv6是Internet Protocol Version 6[/b]的缩写,其中Internet Protocol译为“互联网协议”。IPv6是IETF(互联网工程任务组,Internet Engineering Task Force)设计的用于替代现行版本IP协议(IPv4)的下一代IP协议。目前IP协议的版本号是4(简称为IPv4),它的下一个版本就是IPv6。 IPV5 已预留给...
端口扫描之Nmap(二)
为你而战的博客
12-04 2512
nmap基本功能及使用 nmap输出的端口状态 Open(开放的): 意味着目标机器上的应用程序正在该端口监听连接/报文 Filtered(被过滤的):意味着防火墙,过滤器或者其他网络障碍阻止了该端口被访问,Nmap无法得知它的真实状态。当nmap收到icmp报文主机不可达报文或者目标主机无应答,常常会将目标主机的状态设置为filtered。 Closed(关闭的):端口上面没有应用程序监听,但它们随时可能开放。 Unfiltered(未被过滤的): 这种状态和filtered的区别在于:unfilte
Pandorabox等类OpenWrt的路由器 实现后端设备接入IPV6(中继代理+NAT)
weixin_30409849的博客
09-27 3738
本随笔针对高校支持ipv6的校园网,ipv6由上游路由器dhcp动态分配(无状态),电脑直连可以通过dhcp获取到ipv6的地址(前提)。 路由器CPU :MTK MT7620A/MT7621AT 路由器运行PandoraBox 18.10 IPV6-中继转发 实现环境:湖南科技大学校园网家属区环境 逛Pangubox论坛发现了很好的方法,该方法基于中继转发,可以在不添加任何安...
linux系统ip6tables怎么配置,使用ip6tables禁用ipv6
weixin_28873663的博客
05-05 4049
在上世纪90年代,也就是1994年的时候人们因为应对ipv4地址的短缺的问题而提出使用NAT技术ip过载,就出现了局域网的概念,让局域网的私有ip能过通过NAT转发来实现上网,NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的主机。而后又推出了ipv6ipv6中IP地址的长度为128是iPv4的4倍它的长度可以使它让地球上的每一粒沙子都可以分配ip...
iptables详解
cesheng3410的博客
12-13 1353
iptables详解
Linux常用命令——ip6tables命令
AI的博客
04-28 3216
但是 IPv6 的地址非常丰富,不再需要使用类似 NAT 等协议的私有网络。这样一来,所有的内部主机都可以拥有公网 IP 而直接连接到互联网,也就同时暴露于互联网上的各种威胁之中了。有时候,如果你的规则设置太过苛刻,可能都无法分配到正确的 IPv6 地址。当然,不使用 DHCP 而是手动配置 IP 地址的除外。对于那些没有特定规则与之匹配的数据包,可能是我们不想要的,多半是有问题的。和iptables一样,都是linux中防火墙软件,不同的是ip6tables采用的TCP/ip协议为IPv6
iptables的用法
qq_23113053的博客
07-06 373
Netfilter包含有三种表,三种表下共包含有五种链,链下面包含各种规则。即表包含若干链,链包含若干规则。   (一)三种表为:filter   nat  mangle  1、filter:处理与本机有关的数据包,是默认表,包含有三种链:input   output forward  2、nat表:与本机无关。主要处理源与目的地址IP和端口的转换。有三种链:prerouting  post
linux系统ip6tables怎么配置,ip6tables命令
weixin_42355744的博客
05-05 1726
ip6tables命令和iptables一样,都是linux操作系统中防火墙软件,不同的是ip6tables采用的TCP/ip协议为IPv6。语法ip6tables(选项)选项-t:指定要操纵的表;-A:向规则链中添加条目;-D:从规则链中删除条目;-i:向规则链中插入条目;-R:替换规则链中的条目;-L:显示规则链中已有的条目;-F:清楚规则链中已有的条目;-Z:清空规则链中的数据包计算器和字节...
关于ipv6的使用1
cybertan的专栏
10-10 5397
sles11sp2:~ # tracepath6 1080::8:800:200C:417A  1?: [LOCALHOST]                      pmtu 16436  1:  1080::8:800:200c:417a                      0. 81ms reached      Resume: pmtu 16436 hops 1 back
iptables深入解析-ct篇
weixin_33943836的博客
07-28 599
ct是netfilter非常重要的基础和架构核心.它为状态防火墙,nat等打下基础. 一直觉的它很神秘,所以就下定决心分析一下. 这里依然不从框架开始说,而是从实际代码着手. 参考内核 kernel3.8.13 先看看它的初始化: Net/netfilter/nf_conntrack_core.c int ...
ip6tables配置规则
03-31
IP6tables是一个IPv6防火墙工具,用于在Linux系统上管理IPv6防火墙规则。以下是一些常用的ip6tables规则配置: 1. 允许某个IP地址访问另一个IP地址: ip6tables -A INPUT -s 2001:db8::1 -d 2001:db8::2 -j ACCEPT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值