nftables

OpenWRTでのポートスキャンの防止
nftables

OpenWRTでのポートスキャンの防止

インターネットルーターでポートを開く必要がありますが、そのポートを簡単に検索または列挙することを望まないとします。 ハッカー/会社が開いているポートをスキャンするのを防ぐ方法は? ...

Admin

nftablesログにユーザーまたはプロセス情報を追加する
nftables

nftablesログにユーザーまたはプロセス情報を追加する

ここで、 より多くの情報を追加するためにnftablesログをカスタマイズできますか? たとえば、ユーザー(id、gid ...)または出力を試みるプロセスに関する情報を取得することが興味深い場合があります。 クラシックログの例: IN= OUT=ens18 SRC=192.168.1.2 DST=8.8.8.8 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=64026 DF PROTO=TCP SPT=51096 DPT=8888 WINDOW=64240 RES=0x00 SYN URGP=0 挨拶 ...

Admin

nftablesで指定されたICMP型セットの宣言と使用
nftables

nftablesで指定されたICMP型セットの宣言と使用

unamed set以下は、現在のICMPタイプの使用方法の実際の例です。 #!/usr/sbin/nft -f add table filter_4 add chain filter_4 icmp_out_4 { comment "Output ICMPv4 traffic" } define response_icmp_4 = { 0, # Echo Reply 3, # Destination Unreachable 10, # Router Solicitation 11, # Time Exceeded...

Admin

masqueradeの使い方と意味[to:PORT_SPEC]
nftables

masqueradeの使い方と意味[to:PORT_SPEC]

nftables以下は、仮想マシンからLANにIPをなりすます2つのサンプルNATルールを含む関連サンプルルールのセットです。 #!/usr/sbin/nft -f add table nat_4 # Sees all packets after routing, just before they leave the local system add chain nat_4 postrouting_nat_4 { type nat hook postrouting priority srcnat; policy accept; comme...

Admin

Natables ルーティング決定ステップ
nftables

Natables ルーティング決定ステップ

以下のリンクは、クロスチェーンパケットフローを説明するイメージです。nftables Webフィルタフック 1つを除いてすべて理解しています。画像では、現在のステップが何であるかはわかりませんrouting decision。 画像によると、これは2つの場所で行われるべきです。 フック後、prerouting前inputと前forward outputパケットが localhost プロセスを離れるときにフックする前に 上記の最初のポイントは後ろに2つの可能なフックがあるため意味がありますが、preroutingポイント2の場合、唯一のストリーミングオプ...

Admin

nftables優先順位フィルタ:それはどういう意味ですか?
nftables

nftables優先順位フィルタ:それはどういう意味ですか?

nftables wikiは優先順位を記述します。ここ。明らかに、優先順位は-10、0、10などの数値です。 Red Hat nftables ドキュメントも同じことを行います。 次のページの例では、優先順位はまだ数字です。しかし、他の場所ではここfilter、次の例のように、数値優先順位は明らかに意味がなくなります。 % nft list ruleset table inet filter { chain input { type filter hook input priority filter; policy accept; 私は数値優先順...

Admin

nftablesはデフォルトでポート22または他のポートを受け入れますか?
nftables

nftablesはデフォルトでポート22または他のポートを受け入れますか?

新しいDebian 12(AWS EC2)にnftablesをインストールしました。ポート22/tcpを介してインスタンス(外部EC2 IP)に接続します。 EC2に言及した理由は、EC2が奇妙なトリックを実行する可能性があるためです。その後、nftableをインストールしました。 sudo apt install nftables sudo systemctl enable nftables sudo systemctl start nftables 現在の設定は空です。 flush ruleset table ...

Admin

nftables - マルチキャストパケットの不一致
nftables

nftables - マルチキャストパケットの不一致

私は次のようにマルチキャストパケットを一致させるルールを設定しました。 add rule filter_4 new_out_4 meta pkttype multicast goto multicast_out_4 filter_4これはIPv4テーブルとnew_out4出力チェーンであり、multicast_out_4純粋なマルチキャストトラフィックを処理するチェーンです。 無関係な部分を除くIPv4テーブルの全体図は次のとおりです。 #!/usr/sbin/nft -f add table filter_4 add chain filter_4 o...

Admin

SNIフィルタリングにnftables v1.0.8を使用する方法は?
nftables

SNIフィルタリングにnftables v1.0.8を使用する方法は?

例:教室を許可し、YouTube共有IPをブロックします。 dig www.youtube.com +short | grep "$(dig classroom.google.com +short)" 142.251.32.78 https://serverfault.com/questions/988309/filter-on-bytes-in-udp-payload-using-nftables#988614 そして https://blog.cloudflare.com/programmable-packet-filtering-with-magic...

Admin

arptableはnmapでは使用できません
nftables

arptableはnmapでは使用できません

私のラップトップでネットワーク検索を防ぐ方法を実装しようとしています。私が望む1つは、特定のホスト(たとえば、私のゲートウェイ)に対するarp要求を許可することです。 arptableを使っていくつかのルールを追加しましたが、(最初は)正しく動作しているようです。 arptables -A OUTPUT -d 192.168.1.30 -j DROP arptables -A INPUT -s 192.168.1.30 -j DROP これにより、ホストに対する arp 要求を効果的にブロックします。私が実行した場合: tcpdump -n port n...

Admin

ksoftirqdはdebian 12に移行して以来、多くのCPUを使用しています。
nftables

ksoftirqdはdebian 12に移行して以来、多くのCPUを使用しています。

私はIntel nuc Dualatomのような小さなPC Linuxボックスを持っていますが、ここでファイアウォール設定を実行します。 以前、このコンピュータはdebian 9を実行していましたが、すべてが大丈夫でした。 私はこのマシンを2つの異なるマシン間で使用して、約50〜70 MB / sの転送速度(ギガビットイーサネット)の非常に速い速度でデータを送信できます。 設定をdebian 12に移動してから、速度は9〜10 MB / sに低下しました。答えを調べてみると、ksoftirqdが多くのCPUを使用していることがわかりました。 MTUを1500...

Admin