Nftables inet,ipv4,ipv6: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 31: | Zeile 31: | ||
=Erstellen einer Basis IPv4 Kette= | =Erstellen einer Basis IPv4 Kette= | ||
| − | + | ||
*nft add table inet filter | *nft add table inet filter | ||
| − | + | *nft add chain inet filter input '{ type filter hook input priority 0 ; } ' | |
| − | *nft add chain inet filter | + | *nft add chain inet filter output '{ type filter hook output priority 0 ; } |
| − | + | *nft add chain inet filter forward '{ type filter hook forward priority 0 ; } ' | |
| − | *nft | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
Version vom 28. Februar 2023, 14:27 Uhr
Schaubild
- Im Gegensatz zu iptables, das Ketten an jedem' Hook vordefiniert, definiert nftables überhaupt keine Ketten.
- Sie müssen explizit eine base chain an jedem Hook, an dem Sie den Datenverkehr filtern möchten.
![Bearbeiten](javascript:editDrawio("955611251", "nft-inet1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Funktionsweise
- Die Regeln werden nacheinander auf das Paket angewandt, wenn eine Regel greift hört der Verarbeitungsprozess auf.
- Ansonsten wird die Default Policy angewandt.
| filter table | |||||
|---|---|---|---|---|---|
| INPUT | OUTPUT | FORWARD | |||
| rule 1 | rule 1 | rule 1 | |||
| rule 2 | rule 2 | rule 2 | |||
| rule 3 | rule 3 | ||||
| rule 4 | |||||
| POLICY | POLICY | POLICY | |||
Erstellen einer Basis IPv4 table
- nft add table inet filter
Löschen einer Basis IPv4 table
- nft delete table inet filter
Erstellen einer Basis IPv4 Kette
- nft add table inet filter
- nft add chain inet filter input '{ type filter hook input priority 0 ; } '
- nft add chain inet filter output '{ type filter hook output priority 0 ; }
- nft add chain inet filter forward '{ type filter hook forward priority 0 ; } '