https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Bridging_Firewall_Nftables 2026-06-29T14:11:27Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Bridging_Firewall_Nftables&diff=63364&oldid=prev 2025-06-20T05:17:25Z

<p>Die Seite wurde neu angelegt: „=Was ist nftables für Bridges?= *nftables ist der moderne Ersatz für iptables, ip6tables, arptables und ebtables. *Für Ethernet-Filterung (Layer 2) auf Brid…“</p> <p><b>Neue Seite</b></p><div>=Was ist nftables für Bridges?=<br /> *nftables ist der moderne Ersatz für iptables, ip6tables, arptables und ebtables.<br /> *Für Ethernet-Filterung (Layer 2) auf Bridges kann nftables direkt mit dem Hook „bridge“ verwendet werden.<br /> *Damit können MAC-Adressen, ARP, VLAN und IP-Pakete auf Bridge-Ebene gefiltert werden.<br /> *Vorteile: einheitliche Syntax, atomare Regeländerung, besseres Logging, kein Chaos mehr mit 4 Tools.<br /> *Bridge-Interfaces müssen in VirtualBox weiterhin auf „promiscuous mode“ stehen, damit alle Pakete verarbeitet werden können.<br /> <br /> =Installation=<br /> *apt install nftables bridge-utils<br /> <br /> =/etc/network/interfaces=<br /> &lt;pre&gt;<br /> auto lo<br /> iface lo inet loopback<br /> <br /> auto enp0s3<br /> iface enp0s3 inet static<br /> address 10.0.10.11/24<br /> gateway 10.0.10.1<br /> <br /> auto enp0s8<br /> iface enp0s8 inet manual<br /> <br /> auto enp0s9<br /> iface enp0s9 inet manual<br /> <br /> auto vmbr0<br /> iface vmbr0 inet manual<br /> bridge_ports enp0s8 enp0s9<br /> bridge_fd 5<br /> bridge_stp no<br /> &lt;/pre&gt;<br /> <br /> *ifup vmbr0<br /> <br /> =Konzept Schaubild=<br /> *'''hook bridge''' wird für Pakete verwendet, die durch eine Linux-Bridge laufen.<br /> *'''Prio -200''' ist der empfohlene Punkt, an dem man filtert (siehe nftables bridge-Hook).<br /> *Filter sind möglich für:<br /> **Ether-Typ (IPv4, ARP, VLAN, 802.1Q etc.)<br /> **MAC-Quell- und Zieladresse<br /> **IP-Adresse, Protokoll, Ports (wenn Ether-Typ IPv4 erkannt wird)<br /> <br /> =Skript mit nftables Regeln=<br /> *cd /etc/nftables/<br /> *vi bridge-firewall.nft<br /> &lt;pre&gt;<br /> #!/usr/sbin/nft -f<br /> <br /> flush ruleset<br /> <br /> table bridge filter {<br /> chain forward {<br /> type filter hook forward priority -200; policy accept;<br /> <br /> # Logging aller weitergeleiteten Pakete<br /> log prefix &quot;BRIDGEFW: &quot; level info<br /> <br /> # Beispiel: MAC-Adresse blockieren<br /> # ether saddr 08:00:27:75:ba:ec drop<br /> <br /> # Beispiel: Antispoofing – IP darf nur von bestimmter MAC kommen<br /> # ether saddr != 00:11:22:33:44:55 ip saddr 172.16.1.4 drop<br /> <br /> # IPv4-Verkehr nur von einer MAC erlauben<br /> # ether saddr 00:11:22:33:44:55 ether type ip accept<br /> # drop # alles andere<br /> <br /> # IPv4 erlauben<br /> ether type ip accept<br /> # ARP erlauben<br /> ether type arp accept<br /> # Alles andere droppen?<br /> # drop<br /> }<br /> }<br /> &lt;/pre&gt;<br /> <br /> *chmod +x bridge-firewall.nft<br /> <br /> ==Test der Regeln==<br /> *nft -f /etc/nftables/bridge-firewall.nft<br /> *nft list ruleset<br /> <br /> ==Dauerhafte Aktivierung==<br /> *vi /etc/nftables.conf<br /> &lt;pre&gt;<br /> include &quot;/etc/nftables/bridge-firewall.nft&quot;<br /> &lt;/pre&gt;<br /> <br /> *systemctl enable nftables<br /> *systemctl start nftables<br /> <br /> =Hinweise zu nftables im Bridging=<br /> *Bridge-Filtering funktioniert nur, wenn das Paket nicht schon im Kernel weiterverarbeitet wurde – promisc-Modus wichtig!<br /> *Pakete, die an den Host selbst gehen, werden zusätzlich über den &quot;inet&quot;-Hook verarbeitet – dieser kann kombiniert werden.<br /> <br /> =Beispiel: Block MAC-Adresse auf Bridge=<br /> &lt;pre&gt;<br /> ether saddr 08:00:27:75:ba:ec drop<br /> &lt;/pre&gt;<br /> <br /> =Links=<br /> *https://wiki.nftables.org<br /> *https://wiki.archlinux.org/title/Nftables#Bridge_filtering<br /> *https://www.kernel.org/doc/html/latest/networking/nftables-bridge.html</div>

Thomas.will