neoice's questions

我有一个 ipv6 隧道，它在流量出站之前拒绝工作。如果我打开设备并 ping 入，直到我开始 ping 出的那一秒才得到响应。如果我然后离开几个小时并尝试再次ping，我将没有任何回应。

我正在为我的隧道使用 Debian Lenny 和 Hurricane Electric。我什至不确定从哪里开始调试这种行为，因为它太不寻常了。我已经使用了来自http://www.tunnelbroker.net/forums/index.php?topic=18.0的 Debian 配置和来自http://wiki.debian.org/DebianIPv6的配置以及各种调整之间，但我仍然无法让设备持续接受入站流量。没有 ip6tables，但我确实有各种 iptable 规则。有没有其他人遇到过这种问题？我可以做些什么来调试或解决这个问题？

编辑：不涉及 NAT，都是 IPv4 Cisco 基础设施。我认为我、交换机和路由器之间没有任何 IPv6。

我在 Debian Lenny 上运行 OpenVPN，在 OSX 上运行 Tunnelblick。我的目标是拥有一个支持 IPv6 的完全路由的 VPN。OpenVPN 服务器有一个功能正常的 6to4 设备，所以现在我的目标是让客户端通过 VPN 路由他们的 IPv6 流量。

OpenVPN 启动后，它会运行以下命令来配置其 tap0 设备以支持 IPv6：

ifconfig $dev up
ifconfig $dev add 2001:470:e910:1000::1/64

到目前为止，我一直在手动执行 OSX 方面的工作。我已经到了这里：

ifconfig tap0 inet6 2001:470:e910:1000::2
route add -inet6 default 2001:470:e910:1000::1
route add -inet6 2000:: -prefixlen 3 2001:470:e910:1000::1

使用这些命令，我​​可以 ping client.tap0、server.tap0 和 server.6to4，但无法获得 6to4 设备之外的任何流量。如果没有两条路由，则根本没有流量到达服务器。我没有做太多路由或 IPv6，所以我很难过。

我一直在使用这些防火墙规则：

-I FORWARD -p tcp --syn -m connlimit --connlimit-above 50 -j REJECT
-I FORWARD -p tcp --syn -m connlimit --connlimit-above 50 -j LOG --log-prefix "CONNLIMIT: " --log-level debug

看起来很简单：防止某人打开超过 50 个连接并导致拒绝服务。我已经成功地测试了它对slowloris。我专门将限制提高到 50，以防止误报问题（Apache 可能非常需要连接。）但是，今天早上，我从 Nagios 监视器收到一封电子邮件，我的日志显示了几行“CONNLIMIT”和源IP是我的监控系统。

我不知道为什么会这样。最多，我的监控服务器应该执行 5-10 次检查，并且可能执行 ping 或 SSH 连接。如果我打开了超过 25 个连接，我会感到震惊，但是连续两个周末，我成功地触发了 connlimit 50 并且粗鲁地唤醒了自己。

我的防火墙规则有问题吗？（也许添加“新”标志？） Nagios 是否没有正确关闭其连接？我什至不确定如何继续调试这个问题，而不是记录线路上的每个数据包并耐心地等待我的手机在某个可怕的时间关闭。

[编辑：只是为了好玩，这里是服务器日志]

Oct  9 11:33:22 adapt kernel: [1888526.442640] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=2076 DF PROTO=TCP SPT=46536 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Oct  9 11:34:22 adapt kernel: [1888586.443869] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=43048 DF PROTO=TCP SPT=57931 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Oct  9 11:35:42 adapt kernel: [1888667.011376] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=64 TOS=0x00 PREC=0x00 TTL=54 ID=19161 DF PROTO=TCP SPT=63669 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Oct  9 11:35:48 adapt kernel: [1888673.093663] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=64 TOS=0x00 PREC=0x00 TTL=54 ID=48302 DF PROTO=TCP SPT=63673 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Oct  9 11:35:53 adapt kernel: [1888678.361267] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=64 TOS=0x00 PREC=0x00 TTL=54 ID=11711 DF PROTO=TCP SPT=63677 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Oct  9 11:36:04 adapt kernel: [1888688.517868] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=6316 DF PROTO=TCP SPT=44206 DPT=443 WINDOW=5840 RES=0x00 SYN URGP=0
Oct  9 11:36:21 adapt kernel: [1888705.382273] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=64 TOS=0x00 PREC=0x00 TTL=54 ID=29613 DF PROTO=TCP SPT=63697 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Oct  9 11:36:49 adapt kernel: [1888733.467511] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=52433 DF PROTO=TCP SPT=40930 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Oct  9 11:37:04 adapt kernel: [1888748.574700] CONNLIMIT: IN=eth0 OUT=eth1 SRC=[MONITOR] DST=[HOST] LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=26329 DF PROTO=TCP SPT=44223 DPT=443 WINDOW=5840 RES=0x00 SYN URGP=0

我们可以看到它正在检查几个端口并大约每分钟发出一次检查。