再起動すると、nftablesが変更されます。

再起動すると、nftablesが変更されます。

これは私のものです。/etc/sysconfig/nftables.conf

#!/usr/sbin/nft -f
flush ruleset
table ip filter {
    chain input {
        type filter hook input priority filter; policy accept;
        ct state established,related counter packets 264 bytes 17996 accept
        ct state invalid drop
        tcp dport 22 ip saddr 192.168.0.0/16 accept
        udp sport 53 accept
        drop
    }

    chain forward {
        type filter hook forward priority filter; policy accept;
    }

    chain output {
        type filter hook output priority filter; policy accept;
    }
}

使用nft -f /etc/sysconfig/nftables.confして再起動すると、上記の表の下に次の追加規則も表示されます。

table bridge filter {
    chain INPUT {
        type filter hook input priority filter; policy accept;
    }

    chain FORWARD {
        type filter hook forward priority filter; policy accept;
    }

    chain OUTPUT {
        type filter hook output priority filter; policy accept;
    }
}

それは何か理解できませんか?

追加の質問。マシンを強化しようとしています。マシンはデフォルトでWeb検索に使用される必要があるため、そうすることを許可する必要があります。私はローカルネットワークからSSHに接続できるようにしたいです。私は何か重要なものを逃しましたか?

答え1

ebtablesこれは、最新バージョンのブリッジ操作コマンドによって生成された互換性テーブルとチェーンです。nftablesカーネルAPIはebtables互換モード。ebtablesただ確認するためにどこかでコマンドを実行する場合もあります。ebtablesルールがあるか、一部が自動的にロードされることもあります。ebtablesルールセット、次に変換nftablesルールセット。

CentOS8の場合は、次の方法でこれを知ることができます。

  • 実際の実行ファイル

    # readlink -e /usr/sbin/ebtables
    /usr/sbin/xtables-nft-multi
    
  • バージョン表示

    # ebtables -V
    ebtables 1.8.2 (nf_tables)
    
  • ルールの監視

    1学期:

    # nft -f /etc/sysconfig/nftables.conf
    # nft monitor #command waits in event mode
    

    2学期:

    # ebtables -L
    Bridge table: filter
    
    Bridge chain: INPUT, entries: 0, policy: ACCEPT
    
    Bridge chain: FORWARD, entries: 0, policy: ACCEPT
    
    Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
    

    1学期の再開(Fedora最新nftables-200バージョンはブリッジの優先順位を表示します。それで象徴的な同じfilter):

    add table bridge filter
    add chain bridge filter INPUT { type filter hook input priority -200; policy accept; }
    add chain bridge filter FORWARD { type filter hook forward priority -200; policy accept; }
    add chain bridge filter OUTPUT { type filter hook output priority -200; policy accept; }
    # new generation 7 by process 16326 (ebtables)
    

基本チェーンにはルールは含まれておらず、受け入れるポリシーは何の影響もありません。システムはまた、テーブルとチェーンを使用するためにブリッジが必要です。

CentOS8と現在のFedoraバージョンがまだ十分に似ている場合は、systemdを使用して作成された可能性があります。ebtablesサービスiptables-ebtablesパック。ブリッジフィルタリングが不要な場合は、このパッケージを削除することをお勧めします。あなたはまだ使用することができますNFFT本当に必要な場合。

実際に追加されたテーブルは家族のためのテーブルです。そう言うebtables代わりにiptablesIP6テーブルまたはarpテーブルこれはすべて同じ動作を生成し、まだレンダリングされていない場合は異なるテーブルシリーズをそれぞれ生成します。アイピーIP6またはARP)とその基本チェーンです。したがって、競合を避けるために同じテーブル名を使用したり、少なくとも同じテーブルとチェーンの組み合わせを使用したりしないでください。NFFT(大文字)チェーンの規則はip filter INPUT次のように関連付けることができます。iptablesなど。 )

これについての詳細はこちらでご覧いただけます。

iptablesからnftablesへの移行 - nftables wiki

レガシーxtablesツール - nftables wiki

iptables-nftを使う:ハイブリッドLinuxファイアウォール - Red Hat


追加の質問について:

あなたのルールは、1つの重要な例外を除いて、デフォルトのクライアントの使用(LANからのSSHアクセスを含む)を許可するようです。

udp sport 53 accept

アクセスを許可するどのシステムのUDPポートの場合、UDPソースポート53で「スキャン」できます。

以下のより合理的な規則に置き換えてください。

iif lo accept

ローカル通信が妨げられないようにします(ローカルDNSサーバーを含む)。

関連情報