Странные проблемы с настройкой nftables

0

2

Здравствуйте коллеги. Имее debian 12 +zabbix+postgress - все работает. Включаю фаервол - начинает тормозит веб интерфейс и ssh (mc по 5 мин открывает). Где накосячил подскажите ?

nft list ruleset
table ip FirewallIPV4 {
        chain input {
       type filter hook input priority filter; policy drop;
                iifname "lo" accept
                ct state established,related accept
                ip saddr 192.168.9.0/24 icmp type { destination-unreachable, echo-request, parameter-problem } accept
                ip saddr 192.168.9.0/24 tcp dport 22 accept
                ip saddr 192.168.9.0/24 tcp dport 80 accept
                ip saddr 192.168.9.0/24 tcp dport 10051 accept
        }

        chain forward {
                type filter hook forward priority filter; policy drop;
        }

        chain output {
                type filter hook output priority filter; policy accept;
        }
}
table ip6 FirewallIPV6 {
        chain input {
                type filter hook input priority filter; policy drop;
        }

        chain forward {
                type filter hook forward priority filter; policy drop;
        }

        chain output {
                type filter hook output priority filter; policy drop;
        }
}

←	ECC память вызывает ошибки в memtest

Zimbra 9.0.0_ZEXTRAS.Получение писем, ошибка

→

А если сменить ipv6 output на accept?

afanasiy ★★★★
(15.11.23 16:42:18 MSK)

Если разрешить ipv6 input для lo, лучше не становится?

table ip6 FirewallIPV6 {
  chain input {type filter hook input priority filter; policy drop;
    iifname "lo" accept
  }
...
}

Kolins ★★★
(15.11.23 16:45:36 MSK)
Последнее исправление: Kolins 15.11.23 16:47:50 MSK (всего исправлений: 3)

dns

router ★★★★★
(15.11.23 21:08:47 MSK)

table ip
...
table ip6

Зачем? table inet и описывай унифицированные правила для обоих. Если ходишь по «имени хоста», а не по прямому адресу, то проблема наверняка в глупом дропе всего v6, по которому предпочитают ходить всякие mdns и llmnr.

MagicMirror ★
(16.11.23 00:31:11 MSK)

Ответ на: комментарий от router 15.11.23 21:08:47 MSK

Это было бы слишком просто )

drac753 ★★
(16.11.23 10:28:32 MSK) автор топика

Ответ на: комментарий от Kolins 15.11.23 16:45:36 MSK

Проблему решило разрешение otput для ipv6 и iifname «lo» accept для него же

table ip6 FirewallIPV6 { chain input { type filter hook input priority filter; policy drop; iifname «lo» accept }

    chain forward {
            type filter hook forward priority filter; policy drop;
    }

    chain output {
            type filter hook output priority filter; policy accept;
    }

}

Собственно в локалке ip6 не используется (все на ip 4), очень странное поведение впервые с таким сталкиваюсь. Ранее просто не заморачивался и блочил на фаерволе ip6.

drac753 ★★
(16.11.23 10:30:39 MSK) автор топика
Последнее исправление: drac753 16.11.23 10:33:42 MSK (всего исправлений: 2)

Ответ на: комментарий от MagicMirror 16.11.23 00:31:11 MSK

Спасибо, в точку попали. Просто ip6 не использую никак, и дропал его. Никогда такого не было и вот опять )).

drac753 ★★
(16.11.23 10:35:39 MSK) автор топика

←	ECC память вызывает ошибки в memtest

Admin

Zimbra 9.0.0_ZEXTRAS.Получение писем, ошибка

→

Похожие темы