phonon112358's questions

Estou executando um servidor web (nginx 1.21.6) em um sistema Debian 11 com nftables 0.9.8. Minha configuração nftables é:

table inet filter {
chain input {
  type filter hook input priority filter; policy drop;
            ip saddr @spamhaus4 counter packets 0 bytes 0 drop
            ip6 saddr @spamhaus6 counter packets 0 bytes 0 drop
            meta l4proto tcp meta nfproto ipv4 ip saddr @abused counter packets 0 bytes 0 drop
            ip daddr 46.38.148.0-46.38.151.255 drop
            iif "lo" log group 2 accept
            iif != "lo" ip daddr 127.0.0.0/8 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback"
            iif != "lo" ip6 daddr ::1 counter packets 0 bytes 0 drop comment "drop connections to loopback not coming from loopback"
            ct state established,related log group 2 accept
            ct state invalid counter packets 47 bytes 2572 drop
            tcp dport { 25, 80, 143, 443, 587, 2772, 9980, 45907 } log group 2 accept
            ip protocol icmp icmp type { echo-reply, destination-unreachable, echo-request, router-advertisement, router-solicitation, time-exceeded, parameter-problem } log group 2 accept
            ip6 nexthdr ipv6-icmp icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, echo-request, echo-reply, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert } log group 2 accept
            ip6 nexthdr ipv6-icmp log group 2 accept
            counter packets 2686 bytes 421604 drop
    }

    chain IPSinput {
            type filter hook input priority filter + 10; policy drop;
            counter packets 88448 bytes 15799025 queue num 0-3 bypass,fanout
    }

    chain forward {
            type filter hook forward priority filter; policy drop;
    }

    chain output {
            type filter hook output priority filter; policy accept;
    }

    chain IPSoutput {
            type filter hook output priority filter + 10; policy drop;
            counter packets 76196 bytes 201278628 queue num 0-3 bypass,fanout
    }
   }

O firewall nftables funciona bem.

No entanto, meus servidores nginx não são acessíveis via IPv6. Eu usei diferentes ferramentas de verificação de IPv6 (por exemplo, https://ipv6-test.com/validate.php ) e também Qualys ssltest não pode acessar o servidor via IPv6, mas o IPv4 está funcionando bem. Eu incluí a diretiva listen [::]:80;(resp. listen [::]:443;em cada um dos meus servidores nginx. E netstat -anlp |grep nginxdá

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      48846/nginx: master
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      48846/nginx: master
tcp        0      0 192.168.42.98:443       93.104.163.178:39001    VERBUNDEN   48847/nginx: worker
tcp        0      0 192.168.42.98:443       93.104.163.178:39368    VERBUNDEN   48847/nginx: worker
tcp        0      0 192.168.42.98:443       93.104.163.178:43086    VERBUNDEN   48847/nginx: worker
tcp6       0      0 :::80                   :::*                    LISTEN      48846/nginx: master
tcp6       0      0 :::443                  :::*                    LISTEN      48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160451   48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160453   48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160450   48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160448   48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160452   48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160446   48846/nginx: master
unix  3      [ ]         STREAM     VERBUNDEN     160449   48846/nginx: master

No meu roteador, ativei o IPv6 também.

Alguém tem alguma ideia de onde possa estar o problema?

Eu tenho o nginx (1.21.6) rodando com openssl 1.1.1n em um servidor Debian 11. Embora eu tenha seguido muitos tutoriais e examinado várias perguntas neste fórum sobre esse tópico, não consigo fazer o TLS 1.3 funcionar. A saída de nginx -V:

nginx version: nginx/1.21.6
built by gcc 10.2.1 20210110 (Debian 10.2.1-6)
built with OpenSSL 1.1.1k  25 Mar 2021 (running with OpenSSL 1.1.1n  15 Mar 2022)
TLS SNI support enable

Atualizei o nginx para a versão principal porque também não consegui fazer com que o TLS 1.3 funcionasse nas versões anteriores. É muito estranho... Openssl definitivamente suporta TLS 1.3. Eu testei através do openssl s_client -tls1_3 -connect www.cloudflare.com:443qual funcionou bem. Aqui meu ssl.confarquivo de nginx que incluí em cada um dos meus servidores nginx (os certificados estão incluídos separadamente nas seções do servidor):

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;  # about 40000 sessions
ssl_session_tickets off;

ssl_stapling on;
#ssl_trusted_certificate /pfad/bundle.ca.pem;
ssl_stapling_verify on;

ssl_dhparam /etc/nginx/dhparams.pem;

ssl_ecdh_curve X448:secp521r1:secp384r1;


ssl_protocols TLSv1.3 TLSv1.2;
ssl_ciphers TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:TLS-CHACHA20-POLY1305-SHA256:TLS-AES-256-GCM-SHA384:TLS-AES-128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers on;

# HSTS (ngx_http_headers_module is required) (63072000 seconds)
add_header Strict-Transport-Security "max-age=31536000;preload;includeSubDomains" always;

No entanto, o Qualys ssltest dos meus sites não mostra que eu uso o TLS 1.3 no meu servidor. Além disso, o navegador Chrome mostra que ele se conecta via TLS 1.2. Mesmo se eu remover a TLSv1.2diretiva de my ssl.confe deixar only TLSv1.3, ela ainda se conecta via TLS 1.2.

Não há mais nenhuma ssl_protocolsdiretiva em nenhum outro arquivo de configuração do nginx. Eu verifiquei isso através do nginx -T.

Estou realmente ficando sem idéias..... Alguém pode me ajudar?

EDIT: De alguma forma, o nginx não parece reagir na diretiva ssl_protocolse na ssl_ecdh_curvediretiva corretamente. Por exemplo, quando eu excluo o ssl_ciphersda minha configuração (como @drookie sugeriu em seu comentário), o TLS 1.0 e o TLS 1.1 parecem ser suportados pelo meu servidor, embora eu defina ssl_protocols TLSv1.3 TLSv1.2;. Da mesma forma, de acordo com Qualys ssltest , secp256r1é suportado, embora eu não tenha essa curva na minha configuração de ssl_ecdh_curve(nem prime256v1). Parece-me que algo substitui minhas configurações no ssl.confarquivo. Estou usando acme.sh para obter meus certificados. grep -R 'ssl_protocol' /etc/*apenas fornece a linha ssl.confcom ssl_protocols TLSv1.3 TLSv1.2;. Eu não tenho idéia do que poderia causar a interferência / substituição ...