Dies ist eine alte Version des Dokuments!

Inhaltsverzeichnis

nftables beobachten
nftables Regeln zurücksetzen/löschen
- counter zurücksetzen
erste nftables Regeln
- iptables-ähnliche Tabellen und Chains anlegen
  - interaktiv
  - mit Konfigurationsdatei
nftables Regeln debuggen
- counter nutzen
- Lauf von Paketen nachverfolgen/tracen
aktuelle nftables Regeln speichern
nftables Regeln aus Datei laden
nft Syntax
Doku

nftables beobachten

watch -d nft -a list ruleset

nftables Regeln zurücksetzen/löschen

nft flush ruleset

counter zurücksetzen

auf die harte Tour: alle aktuellen Regeln löschen und neu einlesen:

(echo 'flush ruleset'; nft -s list ruleset) | nft -f -

erste nftables Regeln

iptables-ähnliche Tabellen und Chains anlegen

interaktiv

nft -ia
add table inet filter
add chain inet filter input { type filter hook input priority 0; policy accept; }
add chain inet filter forward { type filter hook forward priority 0; policy accept; }
add chain inet filter output { type filter hook output priority 0; policy accept; }

¹⁾

add table ip nat
add chain ip nat prerouting { type nat hook prerouting priority -100; }
add chain ip nat postrouting { type nat hook postrouting priority 100; }

mit Konfigurationsdatei

Erste Zeile flush ruleset beachten, sonst werden die Regeln hinzugefügt.

nftables.conf

flush ruleset
table inet filter {
        chain input {
                type filter hook input priority 0; policy accept;
        }
        chain forward {
                type filter hook forward priority 0; policy accept;
        }
        chain output {
                type filter hook output priority 0; policy accept;
        }
}

nft -f nftables.conf

nftables Regeln debuggen

counter nutzen

accept, drop oder reject jeweils counter voran stellen: counter accept, counter drop oder counter reject und Regeln wie oben beschrieben mit watch -d nft -a list ruleset beobachten.

Lauf von Paketen nachverfolgen/tracen

Trace-Regel hinzufügen:

nft insert rule inet filter input iifname eth0 nftrace set 1

Pakete anzeigen:

nft monitor trace

aktuelle nftables Regeln speichern

nft -s flush ruleset > /etc/nftables.conf

nftables Regeln aus Datei laden

nft -f /etc/nftables.conf

nft Syntax

action	object	family
create	ruleset	inet
add	table	ip
delete	chain	ip6
rename	rule
list
flush
insert
replace

²⁾

Doku

https://wiki.nftables.org/wiki-nftables/index.php/Quick_reference-nftables_in_10_minutes
Allow ICMPv6 traffic (https://tools.ietf.org/html/rfc4890#page-18)

¹⁾

Since Linux kernel 5.2, there is support for performing stateful NAT in inet family chains: http://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_(NAT)

²⁾

inspiriert von:

Linuxhotel Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge