Danke für die Info.
Erstaunlich, das das nirgends dokumentiert ist.
ReturnToSender hat geschrieben: 
07.01.2019 17:01:42
Invalid filtert Pakete, die nicht einer bekannten (Conntrack-State related/established) Verbindung zuzuordnen sind und auch
nicht dem new-State entsprechen, was im Endeffekt also einem Invalid-Conntrack-State entspricht. Dafür gibts unterschiedliche Ursachen, z.B. Traffic außerhalb der Conntrack-Module z.B. durch Stealth-Mechanismen. Ich habe mal irgendwo gelesen, das Pakete auch als solche deklariert werden, wenn die Conntrack-Tabellen überlaufen. Invalid-Pakete müssen nicht zwingend was schlechtes sein, aber ich würde sie dennoch filtern.
Was ich bisher sicher herausgefunden habe:
ct state invalid filtert auf jeden Fall IPv6-Redirekts, die meine FritzBox an meinen PC (der hat auch eine ULA) sendet
Code: Alles auswählen
IN=eno1 OUT= MAC=00:22:4d:83:64:41:38:10:d5:d2:23:55:86:dd SRC=fe80:0000:0000:0000:3a10:d5ff:fed2:2355 DST=fd33:0000:0000:abba:34c1:68e0:a015:bec1 LEN=200 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=137 CODE=0
Das hatte ich schon vorher so realisiert:
Code: Alles auswählen
ip6 nexthdr ipv6-icmp icmpv6 type nd-redirect counter packets 0 bytes 0 drop
Der counter steht nämlich auf "0" seit ich "ct state invalid" eingefügt habe. Aber was geht so eine ICMP-Meldung conntrack an?
Und dann gibt's ja noch den Typ "
untracked" - was soll man sich darunter vorstellen?
EDIT:
Ich hatte schon recht schnell eine funktionierende nftables.conf für meine Desktop-Ansprüche beisammen.
Hatte schon überlegt, die hier im Forum zur Diskussion zu stellen, da sicher auch andere User an einer universellen Firewall mit nftables (wird Standard in Buster) interessiert sind. Meine Firewall nutzt keine IP-Adressen und somit universell.
Vorher wollte ich natürlich auch alle Details dazu selbst verstehen - aber das wirft immer mehr Fragen auf.
Hat doch so einen Anflug von schwarzer Magie
