home-harmening:sicherheit:firewall:nftables

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
home-harmening:sicherheit:firewall:nftables [2024/10/29 08:09] – gelöscht - Externe Bearbeitung (Unbekanntes Datum) 127.0.0.1home-harmening:sicherheit:firewall:nftables [2024/11/05 16:06] (aktuell) charmening
Zeile 1: Zeile 1:
 +=== nftables ===
 +Nftables ist die Weiterentwicklung von iptables.
 +\\
 +=== Installation ===
 +<code Bash>apt install nftables</code>
 +Dienst starten
 +<code Bash>systemctl enable --now nftables</code>
 +\\
 +=== Befehle ===
 +Liste alle Regel auf
 +<code Bash>nft list ruleset</code>
 +\\
 +=== Einfache nftables.conf ===
 +<code>                                                                                                                                                                                 
 +#!/usr/sbin/nft -f
  
 +flush ruleset
 +
 +table inet filter {
 +        chain input {
 +                type filter hook input priority 0;
 +
 +                # Lokale Verbindungen immer akzeptieren
 +                iif lo accept
 +
 +                # Akzeptiere bestehende Verbindungen
 +                ct state established,related accept
 +
 +                # SSH Verbindung
 +                tcp sport >=1024 tcp dport 22 accept
 +
 +                # Webserver Eingein
 +                tcp sport >=1024 tcp dport 443 accept
 +                tcp sport >=1024 tcp dport 80 accept
 +
 +                # Openvpn
 +                udp sport >=1024 udp dport 42004 accept
 +
 +                # Wireguard
 +                udp sport >=1024 udp dport 51820 accept
 +
 +                # Verweigere den Rest und Logge dies
 +                log prefix "[nftables] Input Denied: " counter drop
 +        }
 +
 +        chain forward {
 +                type filter hook forward priority 0;
 +
 +                # Lokale Verbindungen immer akzeptieren
 +                iif lo accept
 +
 +                log prefix "[nftables] Forward Denied: " counter drop
 +        }
 +
 +        chain output {
 +                type filter hook output priority 0;
 +                # Lokale Verbindungen immer akzeptieren
 +                iif lo accept
 +
 +                # Akzeptiere bestehende Verbindungen
 +                ct state established,related accept
 +
 +                # Namensauflösung
 +                udp dport 53 ip daddr 8.8.8.8 accept
 +                udp dport 53 ip daddr 8.8.4.4 accept
 +
 +                # http Ausgang
 +                tcp sport >=1024 tcp dport 80 accept
 +                tcp sport >=1024 tcp dport 443 accept
 +
 +                # NTP Client
 +                udp dport 123 accept
 +
 +                # Verweigere den Rest und Logge dies
 +                log prefix "[nftables] Output Denied: " counter drop
 +        }
 +}
 +</code>