Nftables Host absichern: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 76: | Zeile 76: | ||
ct state new tcp dport $local_tcp_ports accept | ct state new tcp dport $local_tcp_ports accept | ||
ct state new icmp type echo-request accept | ct state new icmp type echo-request accept | ||
| − | <span style="color:#FF0000">log prefix "--nftables-drop-input--"</span> | + | <span style="color:#FF0000">log prefix " --nftables-drop-input-- "</span> |
} | } | ||
| Zeile 86: | Zeile 86: | ||
ct state new oifname "lo" accept | ct state new oifname "lo" accept | ||
ct state new accept | ct state new accept | ||
| − | <span style="color:#FF0000">log prefix "--nftables-drop-output--"</span> | + | <span style="color:#FF0000">log prefix " --nftables-drop-output-- "</span> |
} | } | ||
} | } | ||
Version vom 25. Juli 2025, 08:36 Uhr
Die ersten wirklichen Regeln die etwas bewirken
- Momentan wollen wir nur den Host absichern.
- Darum können wir die forward Kette erstmal aussen vor lassen.
- Wir beziehen uns also nur auf den Host selbst.
- Wir wollen nun folgendes tun:
- Der Rechner soll mit sich selbst über das Loopback Interface kommunizieren können.
- Vom Rechner selbst nach aussen soll alles zugelassen werden
- Auf den Rechner soll per "ssh, http und https" zugegriffen werden können.
Die erste sinnvolle Konfiguration
- cat /etc/nftables.conf
#!/usr/sbin/nft -f flush ruleset
define local_tcp_ports = { 22 } table inet filter { chain input { type filter hook input priority filter; policy drop; ct state established,related accept ct state new iif "lo" accept ct state new tcp dport $local_tcp_ports accept } chain output { type filter hook output priority filter; policy drop; ct state established,related accept ct state new accept } }
Wir schalten ping frei
- cat /etc/nftables.conf
#!/usr/sbin/nft -f define local_tcp_ports = { 22 } flush ruleset table inet filter { chain input { type filter hook input priority filter; policy drop; ct state established,related accept ct state new iif "lo" accept ct state new tcp dport $local_tcp_ports accept ct state new icmp type echo-request accept } chain output { type filter hook output priority filter; policy drop; ct state established,related accept ct state new accept } }
Wir laden nun die Konfiguration
- nft -f /etc/nftables.conf
Wir loggen
- Wir wollen die abgelehnten Pakete loggen.
- Die Idee dahinter ist, wir schreiben eine Regel kurz bevor die Default Policy greift.
- Neu: Wir fügen in jeder Kette eine log-Regel ein, um verworfene Pakete zu protokollieren
- cat /etc/nftables.conf
#!/usr/sbin/nft -f
define local_tcp_ports = { 22 }
flush ruleset
table inet filter {
chain input {
type filter hook input priority filter; policy drop;
ct state established,related accept
ct state new iifname "lo" accept
ct state new tcp dport $local_tcp_ports accept
ct state new icmp type echo-request accept
log prefix " --nftables-drop-input-- "
}
chain output {
type filter hook output priority filter; policy drop;
ct state established,related accept
ct state new oifname "lo" accept
ct state new accept
log prefix " --nftables-drop-output-- "
}
}
nftables Logging über journalctl
- Erklärung
- journalctl -k -f -g nftables
- Nur Logtext ohne Metadaten
- journalctl -k -f -g nftables -o cat
- Logausgabe mit ISO-Zeitformat
- journalctl -k -f -g nftables -o short-iso
- Nur drop-input
- journalctl -k -f -g nftables-drop-input
Aktivieren der Firewall beim Systemstart
- systemctl enable nftables --now