Squid, vk.com и ipv6

desmond	# 9 лет, 8 месяцев назад
Темы: 13 Сообщения: 28 Участник с: 28 июля 2008	Доброго времени суток всем. Настроил squid, на интерфейсах отключил ipv6 (net.ipv6.conf.all.disable_ipv6=1). У интерфейсов, соответственно, пропали ipv6 адреса. А вот squid продолжает пытаться выйти на vk.com по ipv6 и, соответcтвенно, connection to 2a00… failed. Network is unreachable. DNS ipv6 не отдает, links без squid на vk.com ходит. Как отучить его так делать?

# 9 лет, 8 месяцев назад

Сообщения: 28

Участник с: 28 июля 2008

Доброго времени суток всем.
Настроил squid, на интерфейсах отключил ipv6 (net.ipv6.conf.all.disable_ipv6=1). У интерфейсов, соответственно, пропали ipv6 адреса. А вот squid продолжает пытаться выйти на vk.com по ipv6 и, соответcтвенно, connection to 2a00… failed. Network is unreachable.
DNS ipv6 не отдает, links без squid на vk.com ходит.
Как отучить его так делать?

Natrio	# 9 лет, 8 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Как насчёт проверить, каким DNS пользуется qsuid?

desmond	# 9 лет, 8 месяцев назад
Темы: 13 Сообщения: 28 Участник с: 28 июля 2008	прописал ему dns_nameservers 127.0.0.1 Не помогло.

Natrio	# 9 лет, 8 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Я предлагал проверить чем он пользуется в реальности, то есть кому какие DNS-запросы идут на самом деле. Запускаем tcpdump -ni интерфейс udp port 53 и наблюдаем происходящее во время работы.

kurych	# 9 лет, 8 месяцев назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	У меня получилось победить эту ситуацию только пересобрав squid с ключем –disable-ipv6. Потом, правда, отключил ipv6 вообще при загрузке ядра (параметр ядра ipv6.disable=1). Все равно эта фича пока не используется. Но возвращать исходный пакет не стал. Так что, до очередного обновления squid, не знаю, сработает ли простое отключение ipv6 в ядре. По логике - должно.

kurych

# 9 лет, 8 месяцев назад

Темы: 0

Сообщения: 1394

Участник с: 06 ноября 2011

У меня получилось победить эту ситуацию только пересобрав squid с ключем –disable-ipv6.
Потом, правда, отключил ipv6 вообще при загрузке ядра (параметр ядра ipv6.disable=1). Все равно эта фича пока не используется. Но возвращать исходный пакет не стал. Так что, до очередного обновления squid, не знаю, сработает ли простое отключение ipv6 в ядре. По логике - должно.

desmond	# 9 лет, 8 месяцев назад
Темы: 13 Сообщения: 28 Участник с: 28 июля 2008	запустил tcpdump на 53 порт. named запущен с опцией -4, но при этом отдает AAAA записи. Как заставить его не отдавать v6?

kurych	# 9 лет, 8 месяцев назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	Похоже, что Bind можно заставить не отдавать AAAA записи только с опцией “filter-aaaa-on-v4 yes” (или filter-aaaa-on-v4 break-dnssec). Но для этого его, опять же, надо компилировать с параметром “configure –enable-filter-aaaa”, которого нет в пакете из стандартного репозитория (см. named -V). А раз все равно надо что-то пересобирать, то какая разница - bind или squid?

kurych

# 9 лет, 8 месяцев назад

Темы: 0

Сообщения: 1394

Участник с: 06 ноября 2011

Похоже, что Bind можно заставить не отдавать AAAA записи только с опцией “filter-aaaa-on-v4 yes” (или filter-aaaa-on-v4 break-dnssec). Но для этого его, опять же, надо компилировать с параметром “configure –enable-filter-aaaa”, которого нет в пакете из стандартного репозитория (см. named -V).
А раз все равно надо что-то пересобирать, то какая разница - bind или squid?

sleepycat	# 9 лет, 8 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	я так и не понял, отрубить весь трафик для 6 версии не помогает? Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 9 лет, 8 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

я так и не понял, отрубить весь трафик для 6 версии не помогает?

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

desmond	# 9 лет, 8 месяцев назад
Темы: 13 Сообщения: 28 Участник с: 28 июля 2008	отключил ipv6 через опцию ядра ipv6.disable=1, кальмар все равно запрашивает AAAA запись и если есть положительный ответ - пытается соединиться по v6 адресу и в итоге - network uneachable. Тоже пересобрал кальмара с –disable-ipv6. Помогло. Позже попробую туннелировать ipv6 в ipv4, включив ipv6 и со стандартным пакетом squid.

desmond

# 9 лет, 8 месяцев назад

Темы: 13

Сообщения: 28

Участник с: 28 июля 2008

отключил ipv6 через опцию ядра ipv6.disable=1, кальмар все равно запрашивает AAAA запись и если есть положительный ответ - пытается соединиться по v6 адресу и в итоге - network uneachable. Тоже пересобрал кальмара с –disable-ipv6. Помогло. Позже попробую туннелировать ipv6 в ipv4, включив ipv6 и со стандартным пакетом squid.

kurych	# 9 лет, 8 месяцев назад
Темы: 0 Сообщения: 1394 Участник с: 06 ноября 2011	Обновился squid. С отключенным в ядре ipv6 и пакетом из репозитория vk.com стал открываться нормально.