我想使用 nftables 在 Debian 主机上过滤 IPv6 数据包。在“链输入”中的“表 ip6 过滤器”部分中,我使用它,icmpv6 type {echo-request,nd-neighbor-solicit,nd-router-solicit,mld-listener-query,nd-neighbor-advert,nd-router-advert} accept
这样它应该能够接收和处理路由器广告。但是,它们仍然被阻止。一旦我停止 nftables 服务,IPv6 就会正常工作。我的完整 nftables.conf 是这里。
我究竟做错了什么?
答案1
正如 Tom Yan 在评论部分指出的那样,“inet 过滤器”应该存在或者“ip 过滤器”和“ip6 过滤器”,但是不是同时使用“inet 过滤器”和“ip6 过滤器”如果正在使用丢弃策略。因此,我将所有 IPv6 特定内容移至“inet 过滤器”,并删除“ip6 过滤器”,以使此功能正常工作。
有关完整的 nftables.conf,请参阅这里。