Nftables Filter Funktionsweise
Zur Navigation springen
Zur Suche springen
Funktionsweise
- Im Gegensatz zu iptables bestimmt nftables keine Ketten oder Tabellen vor.
- Diese müssen je nach Bedarf vom Benutzer selbst hinzugefügt werden.
Die Konfiguration von Nftables
- Die Konfiguration ist freier als bei Iptables.
- Es gibt sogenannte Hooks.
- Diese Hooks stellen im Framework Punkte da, an die man Ketten der Tabellen hängen kann.
- Diesen kann man dann auch noch eine Priorität verpassen.
- Im Gegensatz zu iptables, das Ketten an jedem' Hook vordefiniert, definiert nftables überhaupt keine Ketten.
- Sie müssen explizit eine base chain an jedem Hook, an dem Sie den Datenverkehr filtern möchten.
Best Pratice
- Um die Sache nicht unnötig zu verkomplizieren, sollte man einfach die Tabellen wie gehabt benenen.
- Die ist auch Vorgabe bei den einem frisch installierten Linux System.
Best Practice
- Man kann die Regeln wie bei iptables auf der Konsole oder in einem Skritp formulieren.
- Es ist aber einfach die Regeln gleich in ein vorgebenes Skript zu schreiben.
Beispiel Konsole
- nft add table inet filter
- nft add chain inet filter input '{ type filter hook input priority 0 ; } '
Ausgabe des Listing
- nft list ruleset
table inet filter {
chain input {
type filter hook input priority filter; policy accept;
}
}
![Bearbeiten](javascript:editDrawio("48306504", "nft-inet1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("1312403141", "nft-inet3.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}