IT999in1

Заметки

Инструменты пользователя

Инструменты сайта

Вы посетили: installing_wireguard_on_debian_12
flip:linux:nftables

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия		Предыдущая версия
flip:linux:nftables [2024/12/25 10:04] flipflip:linux:nftables [2024/12/25 10:49] (текущий) flip
Строка 24: Строка 24:
  
 >**/etc/nftables.conf** >**/etc/nftables.conf**
 +
 +Содержание:
 +
 +<code>
 +#!/usr/sbin/nft -f
 +
 +flush ruleset
 +
 +table inet filter {
 +        chain input {
 +                type filter hook input priority filter;
 +        }
 +        chain forward {
 +                type filter hook forward priority filter;
 +        }
 +        chain output {
 +                type filter hook output priority filter;
 +        }
 +}
 +</code>
  
  
Строка 30: Строка 50:
 <code> <code>
 nft list ruleset nft list ruleset
 +</code>
 +
 +
 +==== Удалить правило ====
 +
 +Каждое правило при добавлении получает свой номер (**handle**). \\
 +Чтобы посмотреть эти номера нужно использовать ключ -a
 +
 +<code>
 +nft -a list ruleset
 +</code>
 +
 +И затем можно удалить правило по его номеру, указав путь до цепочки (inet filter input)
 +
 +<code>
 +nft delete rule inet filter input handle 2
 </code> </code>
  
Строка 70: Строка 106:
  
 ===== Синтаксис ===== ===== Синтаксис =====
 +
 +>**nft <команда> <объект> <путь к объекту> <параметры>**
 +
 +Команда — add, insert, delete, replace, rename, list, flush… \\
 +Объект — table, chain, rule, set, ruleset… \\
 +Путь к объекту зависит от типа. Например, у таблицы это <семейство> <название>. \\
 +У правила — гораздо длиннее: <семейство таблицы> <название таблицы> <название цепочки>. А иногда ещё добавляются handle или index. \\
 +Параметры зависят от типа объекта. Для правила это условие отбора пакетов и действие, применяемое к отобранным пакетам.
  
 Создать базовую таблицу IPv4 Создать базовую таблицу IPv4
Строка 154: Строка 198:
   * **raw** — позволяет выборочно пропускать или отбрасывать пакеты перед тем, как они попадут в механизм отслеживания соединения (**ct** - connection tracking), что значительно снижает нагрузку на процессор.   * **raw** — позволяет выборочно пропускать или отбрасывать пакеты перед тем, как они попадут в механизм отслеживания соединения (**ct** - connection tracking), что значительно снижает нагрузку на процессор.
     * Содержит цепочки: **prerouting** и **output**.     * Содержит цепочки: **prerouting** и **output**.
 +
 +Таблицы могут быть одного из 6-ти семейств (families):
 +
 +  * **ip** — для обработки пакетов IPv4
 +  * **ip6** — IPv6
 +  * **inet** — обрабатывает сразу и IPv4 и IPv6 (чтобы не дублировать одинаковые правила)
 +  * **arp** — пакеты протокола ARP
 +  * **bridge** — пакеты, проходящие через мост
 +  * **netdev** — для обработки «сырых» данных, поступающих из сетевого интерфейса (или передающихся в него)
  
  
Строка 176: Строка 229:
   * **iifname <имя интерфейса>** — имя входящего интерфейса;   * **iifname <имя интерфейса>** — имя входящего интерфейса;
   * **oifname <имя интерфейса>** — имя исходящего интерфейса.   * **oifname <имя интерфейса>** — имя исходящего интерфейса.
 +
 +  * **counter** - счетчик пакетов
 +
 +**Connection tracking** — это модуль, который определяет состояния соединений. Соединения могут быть:
 +
 +  * **new** — пакет устанавливает новое соединение;
 +  * **estableshed** — пакет является частью существующего соединения (например ответ на ping или ответ на http запрос);
 +  * **related** — пакет является частью связанного соединения. Например, FTP использует порт 21 для установления соединения, но данные передаются через другой порт. И вот передача данных будет осуществляться по related соединению;
 +  * **invalid** — пакет не является частью каких-либо соединений в таблице connection tracking.
 +
 +**Смена политик**
 +
 +  * **nft add chain <семейство> <цепочка> <таблица> { policy accept \; }** — разрешающая политика;
 +  * **nft add chain <семейство> <цепочка> <таблица> { policy drop \; }** — запрещающая политика.
  
  
Строка 181: Строка 248:
  
  
 +==== Разрешить все подключения к loopback ====
 +
 +Интерфейс **lo**
 +
 +<code>
 +nft add rule inet filter input iifname lo counter accept
 +</code>
 +
 +==== Разрешить ssh с определенного IP ====
 +
 +Интерфейс **eth0**
 +
 +<code>
 +nft add rule inet filter input iifname eth0 ip saddr 192.168.0.2 tcp dport 22 counter accept
 +</code>
 +
 +
 +==== Разрешить PING из подсети ====
 +
 +<code>
 +nft add rule inet filter input ip saddr 192.168.0.0/24 icmp type echo-request counter accept
 +</code>
 +
 +
 +==== Разрешить ответные соединения estableshed + related ====
 +
 +<code>
 +nft add rule inet filter input ct state established,related counter accept
 +</code>
 +
 +
 +==== Разрешить порты http, https (80, 443) ====
 +
 +<code>
 +nft add rule inet filter input tcp dport {80, 443} counter accept
 +</code>
 +
 +
 +==== Смена политики цепочки input ====
 +
 +<code>
 +nft chain inet filter input { policy drop \; }
 +</code>
 +
 +
 +===== Ссылки =====
 +
 +  * [[https://wiki.archlinux.org/title/Nftables_(Русский)]]
  
  
flip/linux/nftables.1735121067.txt.gz · Последнее изменение: 2024/12/25 10:04 — flip
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki