Nftables inet,ipv4,ipv6: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (10 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| + | =Schaubild= | ||
*Im Gegensatz zu iptables, das Ketten an jedem' Hook vordefiniert, definiert nftables überhaupt keine Ketten. | *Im Gegensatz zu iptables, das Ketten an jedem' Hook vordefiniert, definiert nftables überhaupt keine Ketten. | ||
*Sie müssen explizit eine base chain an jedem Hook, an dem Sie den Datenverkehr filtern möchten. | *Sie müssen explizit eine base chain an jedem Hook, an dem Sie den Datenverkehr filtern möchten. | ||
{{#drawio:nft-inet1}} | {{#drawio:nft-inet1}} | ||
| + | =Funktionsweise= | ||
| + | *Die Regeln werden nacheinander auf das Paket angewandt, wenn eine Regel greift hört der Verarbeitungsprozess auf. | ||
| + | *Ansonsten wird die Default Policy angewandt. | ||
| + | {| class="wikitable" | ||
| + | !colspan="6"|filter table | ||
| + | |-style="font-style: italic; color: blue;" | ||
| + | ||INPUT||OUTPUT||FORWARD | ||
| + | |- | ||
| + | ||rule 1 ||rule 1 ||rule 1 | ||
| + | |- | ||
| + | ||rule 2 ||rule 2 ||rule 2 | ||
| + | |- | ||
| + | ||rule 3 ||rule 3 || | ||
| + | |- | ||
| + | ||rule 4 |||| | ||
| + | |-style="font-style: italic; color: red;" | ||
| + | ||POLICY||POLICY||POLICY | ||
| + | |} | ||
| + | |||
| + | |||
| + | =Erstellen einer Basis IPv4 table= | ||
| + | *nft add table inet filter | ||
| + | =Löschen einer Basis IPv4 table= | ||
| + | *nft delete table inet filter | ||
| + | |||
| + | =Erstellen einer Basis IPv4 Kette= | ||
| + | ==Tabelle erstellen== | ||
*nft add table inet filter | *nft add table inet filter | ||
| + | ==input Kette erstellen== | ||
*nft add chain inet filter input '{ type filter hook input priority 0 ; } ' | *nft add chain inet filter input '{ type filter hook input priority 0 ; } ' | ||
| + | ==output Kette erstellen== | ||
| + | *nft add chain inet filter output '{ type filter hook output priority 0 ; } ' | ||
| + | ==forward Kette erstellen== | ||
| + | *nft add chain inet filter forward '{ type filter hook forward priority 0 ; } ' | ||
Aktuelle Version vom 28. Februar 2023, 14:29 Uhr
Schaubild
- Im Gegensatz zu iptables, das Ketten an jedem' Hook vordefiniert, definiert nftables überhaupt keine Ketten.
- Sie müssen explizit eine base chain an jedem Hook, an dem Sie den Datenverkehr filtern möchten.
![Bearbeiten](javascript:editDrawio("1632216395", "nft-inet1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Funktionsweise
- Die Regeln werden nacheinander auf das Paket angewandt, wenn eine Regel greift hört der Verarbeitungsprozess auf.
- Ansonsten wird die Default Policy angewandt.
| filter table | |||||
|---|---|---|---|---|---|
| INPUT | OUTPUT | FORWARD | |||
| rule 1 | rule 1 | rule 1 | |||
| rule 2 | rule 2 | rule 2 | |||
| rule 3 | rule 3 | ||||
| rule 4 | |||||
| POLICY | POLICY | POLICY | |||
Erstellen einer Basis IPv4 table
- nft add table inet filter
Löschen einer Basis IPv4 table
- nft delete table inet filter
Erstellen einer Basis IPv4 Kette
Tabelle erstellen
- nft add table inet filter
input Kette erstellen
- nft add chain inet filter input '{ type filter hook input priority 0 ; } '
output Kette erstellen
- nft add chain inet filter output '{ type filter hook output priority 0 ; } '
forward Kette erstellen
- nft add chain inet filter forward '{ type filter hook forward priority 0 ; } '