Hallo liebe Liste,
ich hab mal ne nftables Frage in Bezug auf IPv4/IPv6 dualstack handling.
Man gibt dort ja in der table Definition inet, ip, ip6 an.
Wenn ich jetzt ne filter table mache für inet um tcp/udp und sowas zu handeln dann pack ich da ja typischerweise ne chain rein z.B. hook input und setz da ne policy drauf (aka drop) und dann den Regel Kram, der sowohl für IPv4 als auch für Ipv6 gelten soll.
Jetzt mach ich zusätzliche tables mit family ip und ip6 um Adressfamilien spezifischen Kram zu handeln (z.B. ICMP). Da pack ich nun wieder chains für hook input rein.
Muss ich da jetzt auch ne policy definieren? Was wenn ich das nicht mache? greift dann die Policy von inet? Wie ist da die Präzedenz? Oder sind die priority Angaben global und gar nicht Table spezifisch?
Und zu guter letzt... is das überhaupt die richtige Rangehensweise mit den drei Tables? Oder sollte man lieber alles in inet handeln und dann mit "meta nfproto" arbeiten?
Hat da jemand "best practices"?
Grüsse Andreas