Nftables start

Aus Xinux Wiki
Version vom 28. Februar 2023, 16:02 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=Vorüberlegung= *Sowohl nftables als auch der Vorgänger iptables arbeiten mit Tabellen und Ketten. *Beim Vorgänger gab es diese praktisch schon von Haus aus…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Vorüberlegung

  • Sowohl nftables als auch der Vorgänger iptables arbeiten mit Tabellen und Ketten.
  • Beim Vorgänger gab es diese praktisch schon von Haus aus.
  • Bei nftables müssen wir diese selbst anlegen.
  • Dies geschieht, indem man sie mit dem richtigen Hacken(Hook) verbindet.
  • Dies könnte man auf der Kommandozeile machen.
  • Eleganter ist es allerdings dies in eine Konfigurations Datei zu tun.
  • Bei einem frisch installierten Debian oder Ubuntu System sieht die Konfiguration so aus
  • Diese stellt ein Zustand da, der an iptables erinnert.
  • Wir haben die filter Tabelle und 3 Ketten: input, output und forward erstellt.
  • Wenn wir die Konfiguration laden wird impliziet die Default Policy accept gesetzt.

Datei

  • cat /etc/nftables.conf
#!/usr/sbin/nft -f

flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;
        }
        chain forward {
                type filter hook forward priority 0;
        }
        chain output {
                type filter hook output priority 0;
        }
}

Laden der Konfigurationsdatei

  • nft -f /etc/nftables.conf

Listen der aktuellen Konfiguration

  • nft list ruleset
table inet filter {
	chain input {
		type filter hook input priority filter; policy accept;
	}

	chain forward {
		type filter hook forward priority filter; policy accept;
	}

	chain output {
		type filter hook output priority filter; policy accept;
	}
}

Welchen Zustand haben wir denn nun?

  • Ein Paket geht grundsätzlich nur durch eine filter Kette.
  • Ist das Paket für den Rechner selbst bestimmt, ist es die input Kette.
  • Wird das Paket von einem lokalen Prozess generiert geht es durch die output Kette raus.
  • Kommt es von einem anderen Rechner und wird es weitergeleietet ist es die forward Kette.

Funktionsweise

Regeln

  • Jede dieser Kette hat nun eine Aneinanderreihung von Regeln.
  • Diese werden von oben nach unten durchlaufen.
  • Trift eine wird sie angewandt, das bedeutet das sie nicht weiter geprüft wird.
  • Es gibt hier aber auch je nach Ziel Ausnahmen
  • Am Ende wird die Default Policy angewandt.

Ziele der Filter Ketten

  • ACCEPT: das Paket kann passieren
  • REJECT: das Paket wird zurückgewiesen und ein Fehlerpaket wird gesendet
  • LOG: schreibt einen Eintrag in die syslog
  • DROP: das Paket wird ignoriert und keine Antwort gesendet
filter table
input output forward
rule 1 rule 1 rule 1
rule 2 rule 2 rule 2
rule 3 rule 3
rule 4
DEFAULT POLICY DEFAULT POLICY DEFAULT POLICY

Wir ändern nun die Default Policy auf drop

  • cat /etc/nftables.conf
#!/usr/sbin/nft -f

flush ruleset
table inet filter {
	chain input {
		type filter hook input priority filter; policy drop;
	}

	chain forward {
		type filter hook forward priority filter; policy drop;
	}

	chain output {
		type filter hook output priority filter; policy drop;
	}
}

Überlegung

  • Es ist momentan keine gute Idee diese Firewallkonfiguration zu aktivieren.
  • Wenn wir per SSH eingelogt wären, würden wir uns selbst abschiessen.
  • Wir warten also noch mit der Aktivierung.

Connection Tracking

  • Beim Connection Tracking wird über jede Verbindung die durchgelassen wird, Buch geführt.
  • Eine Verbindung die neu initiert wird, hat den Status new.
  • Ein Paket das zu einer bestehenden Verbindung gehört, hat den Status established.
  • Es gibt noch den Zustand related. Dies bezieht sich auf icmp Pakete die einen Bezug zu dieser Verbindung haben.
  • Oder auch Mehr Kanal Verbindungen wie beispielsweise ftp oder sip.
  • Dazu braucht man helper Module(prüfen)
  • Bei den Verbindung wird auch das eigentlich Verbindungslose Protokoll udp mit einbezogen.
  • Dies wird über einen Timer geregelt.

Die Idee hinter dem Connection Tracking

  • Die Idee ist nun alle established und related Pakekte freizuschalten.
  • Und nur bestimmte Verbindungsinitiativen freizuschalten.
  • Das Firewall Framework lässt dann jeweils nur die Pakete durch die zu einer bestehenden Verbindung gehören.

Einbauen des Connection Tracking Grundgerüst

  • Wir erlauben alle Pakete die zu einer bestehenden Verbindung gehören.
  • Wir erlauben alle Pakete die in einer Relation zu einer bestehenden Verbindung stehen.
  • Achtung Die Firwall lässt immer noch nichts durch, weil wir noch keine neue Verbindung erlauben.
  • cat /etc/nftables.conf
#!/usr/sbin/nft -f

flush ruleset
table inet filter {
	chain input {
		type filter hook input priority filter; policy drop;
                ct state established,related accept
	}

	chain forward {
		type filter hook forward priority filter; policy drop;
                ct state established,related accept	
        }

	chain output {
		type filter hook output priority filter; policy drop;
                ct state established,related accept
	}
}
Abgerufen von „http://wiki.ixheim.de/index.php?title=Nftables_start&oldid=42542