Insufficient IPv6 support / IPv6対応が不十分

[nexryai]

概要

nftablesではipv6に関するルールを定義する場合、ipではなくip6を使う必要がある。高度なルールのレンダリングやipset周りのコードがIPv6の存在を考慮しておらず以下のような問題が発生する

• allowIPにIPv6を入れるとエラーになる場所とそうでない場所があり、一貫性がない
  • isValidIP()でのみ検証しているかつIPv6の存在を考慮していないコードがあると不正な設定ファイルがレンダリングされ適用時にエラーになる
• FetchIpSet()はv6が混在するリストへの暫定対応としてIPv6の行を捨てる実装になっているがこれは問題な気がする
• そもそも開発者の環境が非IPv6なのでIPv6に仮に対応したとしても正常に動作するかを確認できない（致命的） ←VPSで全てを解決した

[nexryai]

考えられる対応

• 暫定的にisValidIP()に渡されたipがv6ならfalseを返すようにしてAllowIPでIPv6を使えないように統一する
• とりあえず対応だけしてIPv6がルールに使われてたら未サポートと警告する

[nexryai]

• AllowIPやipset、AbuseIP周りでv6を使うことはできない（IPv6のアドレス空間やランダムMACの存在などを考えるとニーズも低そう）
  • Cloudflareからのアクセスのみを許可したい場合は例外的に対応する
• v6でのアクセスを許可したい場合はallowIPv6Accessみたいなのを各port設定で許可する

みたいな仕様でいいかな

[nexryai]

ルーター機能が有効なときにLAN側のデバイスへの着信パケットフィルタリングをどうするか問題があるわ

[nexryai]

手始めにv6経由でのpingを許可するオプションを実装しようと思ったけどicmpv6 type echo-request limit rate 5/second acceptしても通らないし謎すぎる

[nexryai]

何書いてもブロックされるわね

[nexryai]

• inputチェーンにip6でacceptするルールを書いても効かない
• 多分Cloudflareのv6を許可するルールも効いてない
• 挙動的に問答無用で弾かれてる（ログに残る）のでセキュリティ的な問題はないけどv6でサービスを公開することができない

[nexryai]

• icmp6をacceptしても効かない
• ip6 nexthdr ipv6-icmp icmpv6 type { nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } acceptは多分効いてる ←なんで？？？？？？？？？？？？？？？？？？？？

[nexryai]

新たに分かったこと

• allowIPを指定していない場合はIPv6でのアクセスも受け付けるっぽい
• ↑の場合レンダリングされるルールはtcp dport 80 acceptとなる。一般的なIPv4環境の場合はこれで問題ないがv6では全てのデバイスがグローバルIPに相当するアドレスを持つという危険仕様があり、ルーターやゲートウェイサーバーにLanceを入れてる場合に背後で80でlistenしてるサーバーがあればそれへのアクセスが可能になってしまう可能性ある　←要検証

[nexryai]

• configAsRouterなら暫定処置として無条件でIPv6の着信接続を拒否する
• MkAllowPortとMkDenyIpは既にv6に対応しているためv6アドレスを必要に応じて許可/拒否できるこの仕様は維持する
• ipset周りでの対応はしないというかカスタムipset自体廃止したい

[nexryai]

configAsRouterなら暫定処置として無条件でIPv6の着信接続を拒否する

これにするとTailscaleのMagicDNS使用時みたいなユーザー側が特に意識しないけど勝手にIPv6が使われるようになってるような環境（現時点ではMagicDNSはAAAAレコードを返さないけど将来的にそうなる可能性がある）でIPv6を優先的に使おうとするソフトを動かすと不具合に繋がる気がする

[nexryai]

configAsRouterなら暫定処置として無条件でIPv6の着信接続を拒否する

これにするとTailscaleのMagicDNS使用時みたいなユーザー側が特に意識しないけど勝手にIPv6が使われるようになってるような環境（現時点ではMagicDNSはAAAAレコードを返さないけど将来的にそうなる可能性がある）でIPv6を優先的に使おうとするソフトを動かすと不具合に繋がる気がする

これはUFWとかFirewalldでIPの範囲を指定して許可してる場合も同様のことが言えるのでLance側で対応する筋合いはない気がしてきた。対応するとしてもそのうち #16 で対応したい

[nexryai]

easiest solution:

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

[nexryai]

新たに分かったこと

• allowIPを指定していない場合はIPv6でのアクセスも受け付けるっぽい
• ↑の場合レンダリングされるルールはtcp dport 80 acceptとなる。一般的なIPv4環境の場合はこれで問題ないがv6では全てのデバイスがグローバルIPに相当するアドレスを持つという危険仕様があり、ルーターやゲートウェイサーバーにLanceを入れてる場合に背後で80でlistenしてるサーバーがあればそれへのアクセスが可能になってしまう可能性ある　←要検証

v6でも他ホスト宛はinputチェーンじゃなくてforwardチェーンに行くっぽいので問題なさそう