これは私のものです。/etc/sysconfig/nftables.conf
#!/usr/sbin/nft -f
flush ruleset
table ip filter {
chain input {
type filter hook input priority filter; policy accept;
ct state established,related counter packets 264 bytes 17996 accept
ct state invalid drop
tcp dport 22 ip saddr 192.168.0.0/16 accept
udp sport 53 accept
drop
}
chain forward {
type filter hook forward priority filter; policy accept;
}
chain output {
type filter hook output priority filter; policy accept;
}
}
使用nft -f /etc/sysconfig/nftables.conf
して再起動すると、上記の表の下に次の追加規則も表示されます。
table bridge filter {
chain INPUT {
type filter hook input priority filter; policy accept;
}
chain FORWARD {
type filter hook forward priority filter; policy accept;
}
chain OUTPUT {
type filter hook output priority filter; policy accept;
}
}
それは何か理解できませんか?
追加の質問。マシンを強化しようとしています。マシンはデフォルトでWeb検索に使用される必要があるため、そうすることを許可する必要があります。私はローカルネットワークからSSHに接続できるようにしたいです。私は何か重要なものを逃しましたか?
答え1
ebtables
これは、最新バージョンのブリッジ操作コマンドによって生成された互換性テーブルとチェーンです。nftablesカーネルAPIはebtables互換モード。ebtables
ただ確認するためにどこかでコマンドを実行する場合もあります。ebtablesルールがあるか、一部が自動的にロードされることもあります。ebtablesルールセット、次に変換nftablesルールセット。
CentOS8の場合は、次の方法でこれを知ることができます。
実際の実行ファイル
# readlink -e /usr/sbin/ebtables /usr/sbin/xtables-nft-multi
バージョン表示
# ebtables -V ebtables 1.8.2 (nf_tables)
ルールの監視
1学期:
# nft -f /etc/sysconfig/nftables.conf # nft monitor #command waits in event mode
2学期:
# ebtables -L Bridge table: filter Bridge chain: INPUT, entries: 0, policy: ACCEPT Bridge chain: FORWARD, entries: 0, policy: ACCEPT Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
1学期の再開(Fedora最新nftables
-200
バージョンはブリッジの優先順位を表示します。値それで象徴的な同じfilter
):add table bridge filter add chain bridge filter INPUT { type filter hook input priority -200; policy accept; } add chain bridge filter FORWARD { type filter hook forward priority -200; policy accept; } add chain bridge filter OUTPUT { type filter hook output priority -200; policy accept; } # new generation 7 by process 16326 (ebtables)
基本チェーンにはルールは含まれておらず、受け入れるポリシーは何の影響もありません。システムはまた、テーブルとチェーンを使用するためにブリッジが必要です。
CentOS8と現在のFedoraバージョンがまだ十分に似ている場合は、systemdを使用して作成された可能性があります。ebtablesサービスiptables-ebtablesパック。ブリッジフィルタリングが不要な場合は、このパッケージを削除することをお勧めします。あなたはまだ使用することができますNFFT本当に必要な場合。
実際に追加されたテーブルは家族のためのテーブルです。足そう言うebtables代わりにiptables、IP6テーブルまたはarpテーブルこれはすべて同じ動作を生成し、まだレンダリングされていない場合は異なるテーブルシリーズをそれぞれ生成します。アイピー、IP6またはARP)とその基本チェーンです。したがって、競合を避けるために同じテーブル名を使用したり、少なくとも同じテーブルとチェーンの組み合わせを使用したりしないでください。NFFT(大文字)チェーンの規則はip filter INPUT
次のように関連付けることができます。iptablesなど。 )
これについての詳細はこちらでご覧いただけます。
iptablesからnftablesへの移行 - nftables wiki
レガシーxtablesツール - nftables wiki
iptables-nftを使う:ハイブリッドLinuxファイアウォール - Red Hat
追加の質問について:
あなたのルールは、1つの重要な例外を除いて、デフォルトのクライアントの使用(LANからのSSHアクセスを含む)を許可するようです。
udp sport 53 accept
アクセスを許可するどのシステムのUDPポートの場合、UDPソースポート53で「スキャン」できます。
以下のより合理的な規則に置き換えてください。
iif lo accept
ローカル通信が妨げられないようにします(ローカルDNSサーバーを含む)。