У меня небольшие проблемы с настройкой nftables на сервере с двумя стеками. Моя установка - это debian 9.11 с установленным nftables (очевидно). Часть IPv4 работает должным образом, а IPv6 - нет.
Вывод набора правил списка nft:
chain input {
type filter hook input priority 0; policy drop;
ct state established,related accept
iif "lo" accept
ct state invalid drop
ip protocol icmp icmp type echo-request ct state new accept
ip6 nexthdr icmpv6 icmpv6 type echo-request ct state new accept
ip protocol udp ct state new jump UDP
tcp flags & (fin | syn | rst | ack) == syn ct state new jump TCP
ip protocol udp drop
ip protocol tcp drop
meta nfproto ipv4 counter packets 24 bytes 1101 reject with icmp type prot-unreachable
}
chain forward {
type filter hook forward priority 0; policy drop;
}
chain output {
type filter hook output priority 0; policy accept;
}
chain TCP {
tcp dport http accept
tcp dport https accept
}
chain UDP {
udp dport 9987 accept
}
}
Проблема здесь в том, что ни веб-сервер недоступен, ни адрес сервера не доступен для проверки связи при включении nftables.
Я добавил аналог ipv4 ip6 nexthdr icmpv6 icmpv6 type echo-request ct state new accept
но успеха здесь нет.
Я тоже подозреваю ip protocol udp ct state new jump UDP
и tcp flags & (fin | syn | rst | ack) == syn ct state new jump TCP
запускаться только трафиком ipv4. Что мне нужно добавить сюда, чтобы также ловить IPv6?
Заранее благодарим за полезные ответы. Я немного боюсь заблокироваться, поэтому сначала спрашиваю здесь.