IPv6防火墙开关后报文仍转发，为何未生效？

一、现象定位：确认“防火墙已开”是否真实作用于IPv6协议栈

运维人员常通过Web控制台或systemctl status firewalld确认防火墙“已启用”，但该状态仅反映服务进程运行，不等于IPv6规则已加载、模块已就绪、地址族已声明。需首先验证IPv6流量是否真正进入防火墙处理路径——使用tcpdump -i any ip6抓包，结合nft list ruleset与ip6tables -L -v -n比对命中计数器，识别是否存在“零匹配”现象。

二、内核态基石：IPv6连接跟踪（nf_conntrack_ipv6）模块缺失

• Linux内核默认启用nf_conntrack（IPv4），但nf_conntrack_ipv6为独立可加载模块，未自动激活；
• 缺失时，ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT等状态规则失效（因无conntrack上下文）；
• 验证命令：lsmod | grep nf_conntrack_ipv6；若为空，执行modprobe nf_conntrack_ipv6 && echo 'nf_conntrack_ipv6' >> /etc/modules并持久化；
• 注意：5.10+内核中该模块可能被整合进nf_conntrack主模块，但仍需检查sysctl net.netfilter.nf_conntrack_acct及IPv6相关proc参数。

三、规则引擎错配：iptables/nftables 地址族覆盖盲区

四、网络栈策略冲突：IPv6转发与接口级参数的隐式绕过

当net.ipv6.conf.all.forwarding = 1启用时，若存在以下任一配置，IPv6报文可能跳过netfilter钩子：

• net.ipv6.conf.all.disable_ipv6 = 1 → 整个IPv6协议栈禁用，所有IPv6规则失效（即使模块已加载）；
• net.ipv6.conf.eth0.forwarding = 0 与 net.ipv6.conf.all.forwarding = 1 共存 → 接口级优先级更高，导致该接口不触发FORWARD链；
• net.ipv6.conf.all.accept_redirects = 1 + 恶意RA重定向 → 可能诱导流量绕过本机防火墙路径。

五、深度诊断流程图（Mermaid）

flowchart TD
  A[IPv6报文持续转发] --> B{是否命中nft/ip6tables规则？}
  B -->|否| C[检查nft list ruleset是否有ip6表
ip6tables -L -v是否有非零计数]
  B -->|是| D[检查conntrack状态：
conntrack -L -f ipv6 | head -5]
  C --> E[加载nf_conntrack_ipv6？
modprobe nf_conntrack_ipv6]
  D --> F{conntrack条目是否存在？}
  F -->|否| G[确认disable_ipv6=0且接口forwarding=1]
  F -->|是| H[检查rule中target是否为ACCEPT/DROP而非LOG/JUMP]
  E --> I[写入/etc/modules并重启networking或reboot]
  G --> J[sysctl -w net.ipv6.conf.all.disable_ipv6=0]

六、高阶陷阱：“统一inet表”的幻觉与nftables地址族语义

在nftables中，table inet filter虽支持双栈规则（如ip protocol icmp icmp type echo-request和ip6 nexthdr icmpv6 icmpv6 type echo-request共存），但其底层仍依赖nf_conntrack对IPv6的支持。若未加载nf_conntrack_ipv6，即使规则语法正确，ct state established对IPv6流始终返回invalid。这是“规则写了却没用”的根本原因——协议栈能力缺失导致语义失效。

七、生产环境加固清单（Checklist）

1. ✅ lsmod | grep -E 'nf_conntrack|nf_defrag_ipv6' —— 确保双模块存在；
2. ✅ sysctl net.ipv6.conf.all.{disable_ipv6,forwarding,accept_redirects} —— 全部设为合理值（0/1/0）；
3. ✅ nft list tables 输出含ip6或inet表，且nft list chain ip6 filter input有有效规则；
4. ✅ conntrack -L -f ipv6 | wc -l > 0（建立SSH/HTTPv6连接后验证）；
5. ✅ 使用iptables-legacy或iptables-nft时，确认update-alternatives --config iptables指向期望后端。

八、案例实证：某金融云节点IPv6漏转发事件复盘

某Kubernetes节点启用Calico IPv6 CNI后，外部IPv6扫描持续穿透。根因是：节点启用firewalld且界面显示“running”，但其backend为nftables，且仅部署了table inet filter，未声明ip6表；同时nf_conntrack_ipv6未加载（因内核RPM包裁剪）。修复步骤：① dnf install kernel-modules-extra补全模块；② modprobe nf_conntrack_ipv6 nf_defrag_ipv6；③ nft add table ip6 filter并迁移规则；④ 重启firewalld并验证conntrack -L -f ipv6可见ESTABLISHED条目。