Benutzer-Werkzeuge
fortgeschrittene:nftables
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung | ||
|
fortgeschrittene:nftables [2022/12/22 15:57] sh [interaktiv] |
fortgeschrittene:nftables [2023/12/27 11:31] (aktuell) ingo_wichmann [interaktiv] |
||
|---|---|---|---|
| Zeile 6: | Zeile 6: | ||
| ====== nftables Regeln zurücksetzen/löschen ====== | ====== nftables Regeln zurücksetzen/löschen ====== | ||
| nft flush ruleset | nft flush ruleset | ||
| - | ===== counter zurücksetzen ===== | + | |
| - | auf die harte Tour: alle aktuellen Regeln löschen und neu einlesen: | + | |
| - | (echo 'flush ruleset'; nft -s list ruleset) | nft -f - | + | |
| ====== erste nftables Regeln ===== | ====== erste nftables Regeln ===== | ||
| ===== iptables-ähnliche Tabellen und Chains anlegen ===== | ===== iptables-ähnliche Tabellen und Chains anlegen ===== | ||
| ==== interaktiv ==== | ==== interaktiv ==== | ||
| - | (( TODO: kann ich das inet weglassen? Oder kriege ich dann ip?)) | ||
| nft -ia | nft -ia | ||
| add table inet filter | add table inet filter | ||
| Zeile 58: | Zeile 55: | ||
| replace rule inet filter input handle 7 tcp dport @port_blacklist drop | replace rule inet filter input handle 7 tcp dport @port_blacklist drop | ||
| + | ===== einzelne Regel löschen ===== | ||
| + | nft -ia | ||
| + | delete rule inet filter input handle 7 | ||
| ====== nftables Regeln debuggen ====== | ====== nftables Regeln debuggen ====== | ||
| ===== counter nutzen ===== | ===== counter nutzen ===== | ||
| - | ''accept'', ''drop'' oder ''reject'' jeweils ''counter'' voran stellen: ''counter accept'', ''counter drop'' oder ''counter reject'' und Regeln wie oben beschrieben mit ''watch -d nft -a list ruleset'' beobachten. | + | ''accept'', ''drop'' oder ''reject'' jeweils ''counter'' voran stellen: ''counter accept'', ''counter drop'' oder ''counter reject'' |
| Beispiel: | Beispiel: | ||
| Zeile 67: | Zeile 66: | ||
| replace rule inet filter input handle 7 tcp dport { 80, 3128 } counter reject with tcp reset | replace rule inet filter input handle 7 tcp dport { 80, 3128 } counter reject with tcp reset | ||
| + | alle counter beobachten: | ||
| + | watch -d nft -a list ruleset | ||
| + | gezielter nur die counter einer Chain beobachten: | ||
| + | watch -d nft -a list chain inet filter input | ||
| + | |||
| + | ==== counter zurücksetzen ==== | ||
| + | auf die harte Tour: alle aktuellen Regeln löschen und neu einlesen: | ||
| + | (echo 'flush ruleset'; nft -s list ruleset) | nft -f - | ||
| ===== Pakete loggen ===== | ===== Pakete loggen ===== | ||
| nft -ia | nft -ia | ||
fortgeschrittene/nftables.1671724659.txt.gz · Zuletzt geändert: 2022/12/22 15:57 von sh
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
