Netfilter не работает apt-get

0

1

Возможно вопрос банальный, но никак не пойму почему у меня не работает apt-get

iptables -S

-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i venet0 -p tcp -m tcp --dport 5432 -j ACCEPT

При этом:

apt-get update
0% [Connecting to archive.ubuntu.com (2001:67c:1560:8001::14)] [Connecting to...

Ссылка

←	Аутентификация через LDAP с пользователями в реляционной бд.

ssh и инфраструктуропроблемы

→

днс прописан? адреса резолвятся?

Smugo
(12.07.16 09:56:22 MSK)

Ответ на: комментарий от Smugo 12.07.16 09:56:22 MSK

Прописан:

cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 8.8.8.8

Адреса резолвяться:

ping archive.ubuntu.com
PING archive.ubuntu.com (91.189.88.152) 56(84) bytes of data.
64 bytes from steelix.canonical.com (91.189.88.152): icmp_seq=1 ttl=56 time=55.6 ms
64 bytes from steelix.canonical.com (91.189.88.152): icmp_seq=2 ttl=56 time=49.2 ms
64 bytes from steelix.canonical.com (91.189.88.152): icmp_seq=3 ttl=56 time=49.2 ms

alexg
(12.07.16 10:07:15 MSK) автор топика

Ссылка

Я лет 10 не держал в руках apt, но похоже он у тебя пытается идти в сеть по IPv6. Сеть готова к такому поведению? Если нет — отключи ipv6 на сервере, если да — настрой ip6tables на нём и на пути следования пакетов.

BOOBLIK ★★★★
(12.07.16 11:02:15 MSK)

Ответ на: комментарий от BOOBLIK 12.07.16 11:02:15 MSK

Проблема в том, что он это пытается сделать только после применения приведенных выше правил, если правила удалить, то все работает. Кроме того, выключить IPv6 проблематично - это VPS.

alexg
(12.07.16 11:08:51 MSK) автор топика

echo 'Acquire::ForceIPv4 «true»;' | tee /etc/apt/apt.conf.d/99force-ipv4

anonymous
(12.07.16 11:17:52 MSK)

Ссылка

Ответ на: комментарий от alexg 12.07.16 11:08:51 MSK

выключить IPv6 проблематично - это VPS.

echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf
echo "net.ipv6.conf.default.disable_ipv6 = 1" >> /etc/sysctl.conf
sysctl -p

nstorm ★
(12.07.16 12:00:22 MSK)

Ответ на: комментарий от nstorm 12.07.16 12:00:22 MSK

Благодарю, думал IPv6 отключается на уровне ноды.

После отключения все заработало, не понятно только почему apt начинает ломиться через IPv6...

alexg
(12.07.16 13:14:00 MSK) автор топика

Ответ на: комментарий от alexg 12.07.16 13:14:00 MSK

не понятно только почему apt начинает ломиться через IPv6...

Потому что считается, что лучше использовать IPv6, если он есть. man gai.conf - там описывается очередность выборки адресов функцией getaddrinfo(). RFC и всё такое.

nstorm ★
(12.07.16 19:48:20 MSK)