Dies ist eine alte Version des Dokuments!

Inhaltsverzeichnis

nftables beobachten
nftables Regeln zurücksetzen/löschen
- counter zurücksetzen
erste nftables Regeln
- iptables-ähnliche Tabellen und Chains anlegen
  - interaktiv
  - mit Konfigurationsdatei
- erste tcp-Ports schließen
nftables Regeln debuggen
aktuelle nftables Regeln speichern
nftables Regeln aus Datei laden
nft Syntax
Doku

nftables beobachten

watch -d nft -a list ruleset

¹⁾

nftables Regeln zurücksetzen/löschen

nft flush ruleset

counter zurücksetzen

auf die harte Tour: alle aktuellen Regeln löschen und neu einlesen:

(echo 'flush ruleset'; nft -s list ruleset) | nft -f -

erste nftables Regeln

iptables-ähnliche Tabellen und Chains anlegen

interaktiv

²⁾

nft -ia
add table inet filter
add chain inet filter input { type filter hook input priority filter; }
add chain inet filter forward { type filter hook forward priority filter; }
add chain inet filter output { type filter hook output priority filter; }

³⁾

add table ip nat
add chain ip nat prerouting { type nat hook prerouting priority dstnat; }
add chain ip nat postrouting { type nat hook postrouting priority srcnat; }

mit Konfigurationsdatei

Erste Zeile flush ruleset beachten, sonst werden die Regeln hinzugefügt.

nftables.conf

flush ruleset
table inet filter {
        chain input {
                type filter hook input priority filter;
        }
        chain forward {
                type filter hook forward priority filter;
        }
        chain output {
                type filter hook output priority filter;
        }
}
table inet nat {
        chain prerouting {
                type nat hook prerouting priority dstnat;
        }
        chain postrouting {
                type nat hook postrouting priority srcnat;
        }
}

nft -f nftables.conf

erste tcp-Ports schließen

nft -ia
insert rule inet filter input tcp dport { 80, 3128 } drop

Alternativ, mit named sets:

nft -ia
add set inet filter port_blacklist { type inet_service; }
add element inet filter port_blacklist { 80, 3128 }
replace rule inet filter input handle 7 tcp dport @port_blacklist drop

nftables Regeln debuggen

counter nutzen

accept, drop oder reject jeweils counter voran stellen: counter accept, counter drop oder counter reject und Regeln wie oben beschrieben mit watch -d nft -a list ruleset beobachten.

Beispiel:

nft -ia
replace rule inet filter input handle 7 tcp dport { 80, 3128 } counter reject with tcp reset

Pakete loggen

nft -ia
add rule inet filter input log prefix "input accept"

geloggte Pakete anzeigen:

dmesg -Tw

Lauf von Paketen nachverfolgen/tracen

Trace-Regel hinzufügen:

nft insert rule inet filter input iifname eth0 nftrace set 1

Pakete anzeigen:

nft monitor trace

aktuelle nftables Regeln speichern

nft -s flush ruleset > /etc/nftables.conf

nftables Regeln aus Datei laden

nft -f /etc/nftables.conf

nft Syntax

action	object	family
create	ruleset	inet
add	table(s)	ip
delete	chain(s)	ip6
rename	rule
list
flush
insert
replace

⁴⁾

Doku

¹⁾

oder, wenn nur die filter-Regel von Interesse sind:

watch -d nft -a list table inet filter

²⁾

TODO: kann ich das inet weglassen? Oder kriege ich dann ip?

³⁾

Since Linux kernel 5.2, there is support for performing stateful NAT in inet family chains: http://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_(NAT)

⁴⁾

inspiriert von:

Linuxhotel Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge