Кажется, я понял, как это должно работать:
Пакеты могут быть помечены не только как «установить» или «удалить», но и как «группировать». Кажется, это состояние по умолчанию для пакетов, которые были установлены с помощью dnf group install
. В приведенном выше примере dnf mark group sudo
восстанавливает исходное состояние пакета sudo
.
Это таблица совместимости и цепочки, созданные более новой версией команды ebtables
, используемой для управления мостами, но с использованием API ядра nftables в режиме совместимости ebtables . Кто-то где-то запустил команду ebtables
, хотя бы просто для проверки отсутствия правила ebtables или, может быть, для автоматической -загрузки некоторого набора правил ebtables , который был преобразован в nftables набор правил.
Вы можете узнать об этом несколькими способами (здесь, в CentOS8):
собственно исполняемый файл
# readlink -e /usr/sbin/ebtables
/usr/sbin/xtables-nft-multi
отображается версия
# ebtables -V
ebtables 1.8.2 (nf_tables)
мониторинг правил
терм1:
# nft -f /etc/sysconfig/nftables.conf
# nft monitor #command waits in event mode
терм2:
# ebtables -L
Bridge table: filter
Bridge chain: INPUT, entries: 0, policy: ACCEPT
Bridge chain: FORWARD, entries: 0, policy: ACCEPT
Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
термин 1 снова (Более новая версия Fedora nftables будет отображать -200
приоритет моста значение с его символическим эквивалентомfilter
):
add table bridge filter
add chain bridge filter INPUT { type filter hook input priority -200; policy accept; }
add chain bridge filter FORWARD { type filter hook forward priority -200; policy accept; }
add chain bridge filter OUTPUT { type filter hook output priority -200; policy accept; }
# new generation 7 by process 16326 (ebtables)
Поскольку базовые цепочки не содержат правил и имеют политику принятия , это не повлияет ни на что. Система также требует наличия моста, чтобы эта таблица и цепочки вообще использовались.
Если CentOS8 и ваша текущая версия Fedora все еще достаточно близки, это может быть создано с помощью службы systemd ebtables из пакета iptables -ebtables . Если вам не нужна фильтрация моста, вы можете удалить этот пакет. Вы все еще можете использовать для этого nft , если это действительно необходимо.
Тот факт, что добавленная таблица относится к семейству bridge , говорит о том, что это ebtables , а не iptables , ip6tables или arptables , которые все будут давать одинаковое поведение, создавая, если еще не представлено, другое семейство таблиц (соответственно. ip , ip6 или arp)и его базовые цепи. Поэтому следует избегать использования одних и тех же имен таблиц, чтобы избежать конфликтов.или, по крайней мере, не та же комбинация table+chain (например, :правило nft в цепочкеip filter INPUT
(верхнего регистра )может конфликтовать с iptables и т. д.)
больше информации об этом здесь:
Переход с iptables на nftables -Вики nftables
Устаревшие инструменты xtables -Вики nftables
Использование iptables -nft :гибридного брандмауэра Linux -Red Hat
О дополнительном вопросе:
Ваши правила разрешают базовое использование клиента (, включая доступ по SSH из локальной сети ), несмотря на одно важное исключение:
udp sport 53 accept
позволит получить доступ к любому UDP-порту вашей системы, если «сканирование» выполняется с исходного порта UDP 53.
Замените его этим более разумным правилом.:
iif lo accept
для обеспечения беспрепятственной локальной связи (, включая возможный локальный DNS-сервер ).