Безопасность в yggdrasil

В отличие от IPv4, где пользовательские устройства обычно находятся за NAT, в yggdrasil любой компьютер виден «напрямую». Если на нём запущены какие-то сервера, в настройках которых стоит прослушка всех интерфейсов (что-нибудь вроде listen 0.0.0.0 или listen :: в конфигурационных файлах), любой желающий сможет к ним подключиться, что не всегда желательно. (Типичный пример — ssh или ftp на домашнем сервере или локальный mysql на компьютере разработчика с примитивным паролем.) Чтобы избежать этого, нужно настроить firewall, разрешив, например, доступ только с тех IP в yggdrasil, которые принадлежат другим вашим устройствам. В последних версиях Debian удобно делать это с помощью nftables. Для этого добавим в конец файла /etc/nftables.conf такие правила (внимание: если использовать их без изменений, то они запретят и доступ по обычному Iv6):

table ip6 yggdasil {         chain INCOMING {                 type filter hook input priority filter; policy drop;                 iifname "lo" counter packets 0 bytes 0 accept                 ct state established,related accept                 ip6 saddr доверенный_IP_1 accept comment "Allow access from my first host"                 ip6 saddr доверенный_IP_2 accept comment "Allow access from my second host"                 iifname "tun0" ct state new icmp type echo-request counter packets 0 bytes 0 accept comment "Allow ping"         }         chain FORWARDING {                 type filter hook forward priority 0; policy drop;         }         chain OUTGOING {                 type filter hook output priority 0; policy accept;         } }

Строку ip6 saddr доверенный_IP_N accept можно повторять столько раз, сколько потребуется, а вместо доверенный_IP_N нужно написать реальные IP-адреса.
Далее нужно включить и перезапустить nftables:

systemctl enable nftables systemctl restart nftables