nftablesを使用してlocalhostではなくポート5901にパケットをドロップする方法

nftablesを使用してlocalhostではなくポート5901にパケットをドロップする方法

インターネットからVNCポート5901をブロックしようとしていますが、localhostからアクセスできます。サーバーで実行されているドッカーコンテナがありますが、正常に動作します。次の2つのコマンドを実行した後でも、VNCポートにリモートでアクセスできます。私は何が間違っていましたか?よろしくお願いします。

sudo nftチェーンフィルタ入力を追加

sudo nft 追加ルール ip フィルタ INPUT ip Saddr != 127.0.0.1 tcp dport 5901 drop

これがルール出力です。

答え1

テーブルは良いです。しかし、ipfwとは異なり、以下では有効になりません。

sudo systemctl 開始 nftables

関連情報