https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Nftables_Erweiterungen 2026-06-29T00:02:41Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Nftables_Erweiterungen&diff=61590&oldid=prev 2025-04-12T20:49:27Z

<p>Die Seite wurde neu angelegt: „= Erweiterte Funktionen in nftables = == ipsec-policy == * nftables kann prüfen, ob ein Paket durch IPsec gesichert ist. * Die Prüfung erfolgt mit dem Ausd…“</p> <p><b>Neue Seite</b></p><div>= Erweiterte Funktionen in nftables =<br /> <br /> == ipsec-policy ==<br /> <br /> * nftables kann prüfen, ob ein Paket durch IPsec gesichert ist.<br /> * Die Prüfung erfolgt mit dem Ausdruck ''ipsec in'' bzw. ''ipsec out''.<br /> * Beispiele:<br /> ** '''ipsec in reqid 1 accept'''<br /> ** '''ipsec in spi 0x12345678 drop'''<br /> <br /> == policy-routing ==<br /> <br /> * Routing-Entscheidungen können mit ''meta mark'' oder ''fib'' beeinflusst werden.<br /> * Beispielsweise für differenziertes Routing je nach Paketmarkierung.<br /> * Beispiele:<br /> ** '''meta mark set 0x10'''<br /> ** '''fib daddr type local accept'''<br /> <br /> == mss-reduction ==<br /> <br /> * Um Probleme mit MTU und TCP über VPNs zu vermeiden, kann die MSS angepasst werden.<br /> * Dies wird mit dem tcp option parser in nftables realisiert.<br /> * Beispiel:<br /> ** '''tcp flags syn tcp option maxseg size set 1300'''<br /> <br /> = Portforwarding mit sauberer Kontrolle =<br /> <br /> * Bei klassischem Portforwarding wird nur nach der DNAT-Umsetzung geprüft.<br /> * Wenn man bereits den ursprünglichen Verbindungsaufbau zur öffentlichen Adresse prüfen will, muss vor DNAT markiert werden.<br /> <br /> == nftables-Beispiel für sauberes Portforwarding ==<br /> <br /> '''vim /etc/nftables.conf'''<br /> <br /> &lt;pre&gt;<br /> #!/usr/sbin/nft -f<br /> <br /> flush ruleset<br /> <br /> define wanif = ens18<br /> define lanif = ens20<br /> define wanip = 10.82.232.11<br /> define webserver = 192.168.4.12<br /> <br /> table inet mangle {<br /> chain prerouting {<br /> type filter hook prerouting priority mangle; policy accept;<br /> iifname $wanif ip daddr $wanip tcp dport 80 mark set 0x8<br /> }<br /> }<br /> <br /> table ip nat {<br /> chain prerouting {<br /> type nat hook prerouting priority dstnat; policy accept;<br /> iifname $wanif ip daddr $wanip tcp dport 80 dnat to $webserver:80<br /> }<br /> <br /> chain postrouting {<br /> type nat hook postrouting priority srcnat; policy accept;<br /> oifname $wanif ip saddr 192.168.4.0/24 snat to $wanip<br /> }<br /> }<br /> <br /> table inet filter {<br /> chain forward {<br /> type filter hook forward priority filter; policy drop;<br /> ct state established,related accept<br /> mark 0x8 accept<br /> # Optional: Übergabe an Suricata<br /> # mark 0x8 queue num 0<br /> log prefix &quot;--nftables-drop-forward--&quot;<br /> }<br /> <br /> chain input {<br /> type filter hook input priority filter; policy drop;<br /> iif &quot;lo&quot; accept<br /> ct state established,related accept<br /> log prefix &quot;--nftables-drop-input--&quot;<br /> }<br /> <br /> chain output {<br /> type filter hook output priority filter; policy drop;<br /> ct state established,related accept<br /> log prefix &quot;--nftables-drop-output--&quot;<br /> }<br /> }<br /> &lt;/pre&gt;<br /> <br /> == Weiterleitung an eine Queue (z. B. Suricata) ==<br /> <br /> * Statt ''accept'' in der FORWARD-Kette kann auch eine Queue verwendet werden:<br /> <br /> '''mark 0x8 queue num 0'''<br /> <br /> * Suricata muss mit '''--nfqueue''' und Queue-Nummer 0 gestartet werden.<br /> * Beispiel-Aufruf:<br /> <br /> '''suricata -c /etc/suricata/suricata.yaml -q 0'''</div>

Thomas.will