История изменений
Исправление kvv213, (текущая версия) :
Я всегда думал, что линукс не пересылает пакеты между интерфейсами, если источником пакетов является локальная программа.
Мы для этого включаем форвардинг, вроде бы как. В этом случае обработка пакетов (маршрутизация между интерфейсами) должна проходить InHouse.
Поднапряг TCPDump, получил много интересного :)
17:10:56.420359 IP v98007.macloud.host > security.criminalip.com: ICMP v98007.macloud.host udp port 5683 unreachable, length 57
17:12:54.352069 IP v98007.macloud.host > scanner-23.ch1.censys-scanner.com: ICMP v98007.macloud.host udp port 12481 unreachable, length 59
17:13:13.232723 IP v98007.macloud.host > scanner-14.ch1.censys-scanner.com: ICMP v98007.macloud.host udp port 6881 unreachable, length 92
17:13:14.857657 IP v98007.macloud.host > mail.callaway-golf.cn: ICMP v980074.macloud.host udp port sunrpc unreachable, length 76
17:17:05.581589 IP v98007.macloud.host > azpdwgc6.stretchoid.com: ICMP v98007.macloud.host udp port 8080 unreachable, length 61
Сканируют черти…
Но отвлекся. TCPDump не ловит исходящие с VPS ICMP-пакеты в сторону IPv6 маршрутизатора провайдера. Однако, как оказалось, пакеты замечательно бегают между интерфейсами в рамках одного VPS. Если не указывать интерфейс.
Т.е. если я беру просто ping -6 IPv6 адрес - то все работает, а если указываю интерфейс, то ничего не пингуется:
ping -6 -I ens3 ya.ru
PING ya.ru (2a02:6b8::2:242) from 2a10:9200:1::1 ens3: 56 data bytes
From 2a10:9200:1::1 icmp_seq=1 Destination unreachable: Address unreachable
From 2a10:9200:1::1 icmp_seq=2 Destination unreachable: Address unreachable
From 2a10:9200:1::1 icmp_seq=3 Destination unreachable: Address unreachable
From 2a10:9200:1::1 icmp_seq=4 Destination unreachable: Address unreachable
Я могу даже пропинговать от удаленного клиента на wg Ipv6-адрес на ens3.
Если указать не интерфейс, а адрес, то работает:
ping -6 -I 2a10:9200:1::1 ya.ru
PING ya.ru (2a02:6b8::2:242) from 2a10:9200:1::1 : 56 data bytes
From 2a10:9200:1:141::1 icmp_seq=1 Destination unreachable: Address unreachable
From 2a10:9200:1:141::1 icmp_seq=2 Destination unreachable: Address unreachable
64 bytes from ya.ru (2a02:6b8::2:242): icmp_seq=3 ttl=60 time=799 ms
64 bytes from ya.ru (2a02:6b8::2:242): icmp_seq=4 ttl=60 time=4.67 ms
Здесь, как я указывал ранее сначала долбится в wg0, затем вылетает по маршруту с большей метрикой куда надо.
Осталось разобраться с маршрутизацией из wg во все остальные места, плюс с ND-Proxy, если потребуется. Т.е. из wg пока во внешнюю среду не пингуется.
Поэтому я не пропадаю.
PS. Почему у ping такое поведение - ХЗ.
Исходная версия kvv213, :
Я всегда думал, что линукс не пересылает пакеты между интерфейсами, если источником пакетов является локальная программа.
Мы для этого включаем форвардинг, вроде бы как. В этом случае обработка пакетов (маршрутизация между интерфейсами) должна проходить InHouse.
Поднапряг TCPDump, получил много интересного :)
17:10:56.420359 IP v98007.macloud.host > security.criminalip.com: ICMP v98007.macloud.host udp port 5683 unreachable, length 57
17:12:54.352069 IP v98007.macloud.host > scanner-23.ch1.censys-scanner.com: ICMP v98007.macloud.host udp port 12481 unreachable, length 59
17:13:13.232723 IP v98007.macloud.host > scanner-14.ch1.censys-scanner.com: ICMP v98007.macloud.host udp port 6881 unreachable, length 92
17:13:14.857657 IP v98007.macloud.host > mail.callaway-golf.cn: ICMP v980074.macloud.host udp port sunrpc unreachable, length 76
17:17:05.581589 IP v98007.macloud.host > azpdwgc6.stretchoid.com: ICMP v98007.macloud.host udp port 8080 unreachable, length 61
Сканируют черти…
Но отвлекся. TCPDump не ловит исходящие с VPS ICMP-пакеты в сторону IPv6 маршрутизатора провайдера. Однако, как оказалось, пакеты замечательно бегают между интерфейсами в рамках одного VPS. Если не указывать интерфейс.
Т.е. если я беру просто ping -6 IPv6 адрес - то все работает, а если указываю интерфейс, то ничего не пингуется:
ping -6 -I ens3 ya.ru
PING ya.ru (2a02:6b8::2:242) from 2a10:9200:1:141::1 ens3: 56 data bytes
From 2a10:9200:1::1 icmp_seq=1 Destination unreachable: Address unreachable
From 2a10:9200:1::1 icmp_seq=2 Destination unreachable: Address unreachable
From 2a10:9200:1::1 icmp_seq=3 Destination unreachable: Address unreachable
From 2a10:9200:1::1 icmp_seq=4 Destination unreachable: Address unreachable
Я могу даже пропинговать от удаленного клиента на wg Ipv6-адрес на ens3.
Если указать не интерфейс, а адрес, то работает:
ping -6 -I 2a10:9200:1::1 ya.ru
PING ya.ru (2a02:6b8::2:242) from 2a10:9200:1::1 : 56 data bytes
From 2a10:9200:1:141::1 icmp_seq=1 Destination unreachable: Address unreachable
From 2a10:9200:1:141::1 icmp_seq=2 Destination unreachable: Address unreachable
64 bytes from ya.ru (2a02:6b8::2:242): icmp_seq=3 ttl=60 time=799 ms
64 bytes from ya.ru (2a02:6b8::2:242): icmp_seq=4 ttl=60 time=4.67 ms
Здесь, как я указывал ранее сначала долбится в wg0, затем вылетает по маршруту с большей метрикой куда надо.
Осталось разобраться с маршрутизацией из wg во все остальные места, плюс с ND-Proxy, если потребуется. Т.е. из wg пока во внешнюю среду не пингуется.
Поэтому я не пропадаю.
PS. Почему у ping такое поведение - ХЗ.