Hallo liebe Liste,

ich hab mal ne nftables Frage in Bezug auf IPv4/IPv6 dualstack handling.

Man gibt dort ja in der table Definition inet, ip, ip6 an.

Wenn ich jetzt ne filter table mache für inet um tcp/udp und sowas zu
handeln dann pack ich da ja typischerweise ne chain rein z.B. hook input
und setz da ne policy drauf (aka drop) und dann den Regel Kram, der
sowohl für IPv4 als auch für Ipv6 gelten soll.

Jetzt mach ich zusätzliche tables mit family ip und ip6 um
Adressfamilien spezifischen Kram zu handeln (z.B. ICMP).
Da pack ich nun wieder chains für hook input rein.

Muss ich da jetzt auch ne policy definieren? Was wenn ich das nicht
mache? greift dann die Policy von inet? Wie ist da die Präzedenz?
Oder sind die priority Angaben global und gar nicht Table spezifisch?

Und zu guter letzt... is das überhaupt die richtige Rangehensweise mit
den drei Tables? Oder sollte man lieber alles in inet handeln und dann
mit "meta nfproto" arbeiten?

Hat da jemand "best practices"?

Grüsse
Andreas

-- 
The three chief virtues of a programmer are:
Laziness, Impatience and Hubris. -- Larry Wall

Attachment: signature.asc
Description: PGP signature

Reply via email to