ip6tables causando lentidão

1

Ao executar comandos como ntpq -p ou apt-get update , leva muito tempo para exibir os resultados. Se eu remover todas as regras do ipv6, tudo funciona bem.

Eu verifiquei o syslog, e não há nenhum iptables sendo descartado, então as regras estão funcionando. Eu estou supondo que estou faltando algumas regras que estão causando o processo a ser lento.

Como posso melhorar o desempenho? O tráfego IPv4 não tem esse problema.

Aqui está um exemplo da configuração do meu ip6tables:

  # Allow loopback access
  ip6tables -A INPUT -i lo -j ACCEPT
  ip6tables -A OUTPUT -o lo -j ACCEPT

  # Allow link-local
  ip6tables -A INPUT -s fe80::/10 -j ACCEPT
  ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT

  # Allow multicast
  ip6tables -A INPUT -d ff00::/8 -j ACCEPT
  ip6tables -A OUTPUT -d ff00::/8 -j ACCEPT

  # Allow inbound PING
  ip6tables -A INPUT -i eth0 -p icmpv6 --icmpv6-type echo-request -j ACCEPT
  ip6tables -A OUTPUT -o eth0 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT

  # Allow outbound PING
  ip6tables -A OUTPUT -o eth0 -p icmpv6 --icmpv6-type echo-request -j ACCEPT
  ip6tables -A INPUT -i eth0 -p icmpv6 --icmpv6-type echo-reply -j ACCEPT

  # Allow outbound DNS
  ip6tables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
  ip6tables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT


     # Allow outbound NTP
  ip6tables -A OUTPUT -o eth0 -p udp --dport 123 -j ACCEPT
  ip6tables -A INPUT -i eth0 -p udp --sport 123 -j ACCEPT


  # Allow outbound SMTP
  ip6tables -A OUTPUT -o eth0 -p tcp --dport 25 -m conntrack --ctstate NEW,ESTABLISHED -j$
  ip6tables -A INPUT -i eth0 -p tcp --sport 25 -m conntrack --ctstate ESTABLISHED -j ACCE$

  # Allow outbound HTTP
  ip6tables -A OUTPUT -o eth0 -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j$
  ip6tables -A INPUT -i eth0 -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCE$
    
por user72718271 04.01.2016 / 08:28

1 resposta

4

Você parece estar filtrando muito o ICMPv6. O IPv6 faz muito mais uso do ICMP do que o IPv4 e você filtra tanto que realmente quebra o IPv6. As coisas que não funcionam são, por exemplo, a descoberta de vizinhos, pacotes de mensagens de erro muito grandes e outras mensagens de erro. Esses são essenciais para o IPv6.

Ao criar suas próprias regras de firewall, você deve dar uma olhada em RFC 4890 , que contém boas diretrizes sobre como filtrar ICMPv6 .

    
por 04.01.2016 / 10:51