1. Dans /etc/config/firewall
Pour éviter un plantage silencieux du firewall, j'ai du renommer la règle orange-prio en orange_prio
Le nom du fichier include en lui-même n'a pas d'importance.
ohlala désolé en plus je l'avais bien appelé orange_prio sur mon routeur j'ai mal recopié
je viens de modifier merci!
2. Dans /etc/nftables.d/orange-prio.include
Pensez remplacer le nom du device par le nom de l'interface parent dans votre configuration (dans mon cas c'était eth1) sur cette ligne :
type filter hook egress device "wan" priority 0; policy accept;
oui précision importante que j'ai là encore oublié de faire merci! et du coup tu as eu besoin d'installer le paquet kmod-nft-netdev ou pas ?
Après lecture et discussions avec Claude et ChatGPT, je pense qu'il est nécessaire d'ajouter la règle ip6 suivante en premier pour éviter que les paquets DHCP taggués en DSCP 6 se retrouvent forcés à 0 via la règle suivante :
vlan type ip6 udp dport 547 vlan pcp set 6 ip6 dscp set cs6 counter accept
de ce que j'ai compris (mais je ne suis pas sûr, car moi aussi j'ai utilisé de l'IA) les règles sont lues de manières sequentielles, si un paquet est concerné par une règle ce terminant par accept, le paquet sort définitivement et ne repasse plus par les règles suivantes. Il faudrait confirmer.
Il faut également ajouter la ligne suivante concernant les paquets NDP, qui ne sont pas gérés par odhcp6c mais directement par le kernel :
vlan type ip6 icmpv6 type { nd-neighbor-solicit, nd-neighbor-advert, nd-router-solicit } vlan pcp set 6 ip6 dscp set cs6 counter accept
Ensuite j'ai inversé l'ordre des deux règles IPv4 pour pouvoir ajouter des accept partout, ce qui donne le résultat final suivant :
vlan type ip6 udp dport 547 vlan pcp set 6 ip6 dscp set cs6 counter accept
vlan type ip6 icmpv6 type { nd-neighbor-solicit, nd-neighbor-advert, nd-router-solicit } vlan pcp set 6 ip6 dscp set cs6 counter accept
vlan type ip6 ip6 dscp set cs0 counter accept
vlan type ip udp dport 67 vlan pcp set 6 ip dscp set cs6 counter accept
vlan type ip ip dscp set cs0 counter accept
vlan type arp vlan pcp set 6 counter accept
merci, au final vu le faible nombre de règles en jeu je ne suis pas sûr que l'ordre est un impact réel sur la performance, il faudrait tester sans "accept" à chaque fin de ligne mais j'ai la flemme!
Je rejoins @basilix quant au fait que la moindre erreur dans ces règles peut avoir des conséquences catastrophiques.
"A vaincre sans péril, on triomphe sans gloire"
Remplacer la LiveBox par un routeur