oui précision importante que j'ai là encore oublié de faire merci! et du coup tu as eu besoin d'installer le paquet kmod-nft-netdev ou pas ?
Je l'ai installé de principe en amont. Je ne peux donc pas affirmer qu'il soit strictement nécessaire.
de ce que j'ai compris (mais je ne suis pas sûr, car moi aussi j'ai utilisé de l'IA) les règles sont lues de manières sequentielles, si un paquet est concerné par une règle ce terminant par accept, le paquet sort définitivement et ne repasse plus par les règles suivantes. Il faudrait confirmer.
Dans ton post initial tu commences par cette ligne :
vlan type ip6 ip6 dscp set cs0 counter acceptSelon ma compréhension du sujet, si tu ne mets pas la première ligne que j'ai ajoutée il se passe ceci :
- odhcp6c tague les paquets DHCPv6 en DSCP 6 à la source
- Les paquets traversent cette règle firewall et sont de nouveau forcés en DSCP 0
Cela supprime ainsi tout le bénéfice de taguer les paquets DHCPv6 à la source.
On peut aussi se poser la question de l'intérêt de le faire dans odhcp6c puisqu'on est obligés in fine de réécrire la règle dans le firewall...
En théorie avec ces règles netdev en mode accept, on ne serait pas obligés de forcer tout le traffic en DSCP 0.
Wireguard par exemple est connu pour poser problème car les handshakes passent en AF41, ce qui induit donc une bride à 5 Mbps chez Orange.
merci, au final vu le faible nombre de règles en jeu je ne suis pas sûr que l'ordre est un impact réel sur la performance, il faudrait tester sans "accept" à chaque fin de ligne mais j'ai la flemme! EDIT: j'ai repris tes règles mais j'ai mis les régles ip4 en premier car le flux est plus important que l'ipv6 (chez moi en tout cas)
Je pense que l'impact au niveau des performances est minime. C'était plus pour retrouver une cohérence d'écriture entre les règles IPv4 et IPv6.