Назад | Перейти на главную страницу

Настройка nftables для двойного стека (ICMP, http, https)

У меня небольшие проблемы с настройкой nftables на сервере с двумя стеками. Моя установка - это debian 9.11 с установленным nftables (очевидно). Часть IPv4 работает должным образом, а IPv6 - нет.

Вывод набора правил списка nft:


        chain input {
                type filter hook input priority 0; policy drop;
                ct state established,related accept
                iif "lo" accept
                ct state invalid drop
                ip protocol icmp icmp type echo-request ct state new accept
                ip6 nexthdr icmpv6 icmpv6 type echo-request ct state new accept
                ip protocol udp ct state new jump UDP
                tcp flags & (fin | syn | rst | ack) == syn ct state new jump TCP
                ip protocol udp drop
                ip protocol tcp drop
                meta nfproto ipv4 counter packets 24 bytes 1101 reject with icmp type prot-unreachable
        }

        chain forward {
                type filter hook forward priority 0; policy drop;
        }

        chain output {
                type filter hook output priority 0; policy accept;
        }

        chain TCP {
                tcp dport http accept
                tcp dport https accept
        }

        chain UDP {
                udp dport 9987 accept
        }
}

Проблема здесь в том, что ни веб-сервер недоступен, ни адрес сервера не доступен для проверки связи при включении nftables.

Я добавил аналог ipv4 ip6 nexthdr icmpv6 icmpv6 type echo-request ct state new accept но успеха здесь нет.

Я тоже подозреваю ip protocol udp ct state new jump UDP и tcp flags & (fin | syn | rst | ack) == syn ct state new jump TCP запускаться только трафиком ipv4. Что мне нужно добавить сюда, чтобы также ловить IPv6?

Заранее благодарим за полезные ответы. Я немного боюсь заблокироваться, поэтому сначала спрашиваю здесь.