Изменения nftables при перезагрузке

Это таблица совместимости и цепочки, созданные более новой версией команды ebtables, используемой для управления мостами, но с использованием API ядра nftables в режиме совместимости ebtables . Кто-то где-то запустил команду ebtables, хотя бы просто для проверки отсутствия правила ebtables или, может быть, для автоматической -загрузки некоторого набора правил ebtables , который был преобразован в nftables набор правил.

Вы можете узнать об этом несколькими способами (здесь, в CentOS8):

• собственно исполняемый файл

  # readlink -e /usr/sbin/ebtables
  /usr/sbin/xtables-nft-multi
  

• отображается версия

  # ebtables -V
  ebtables 1.8.2 (nf_tables)
  

• мониторинг правил

  терм1:

  # nft -f /etc/sysconfig/nftables.conf
  # nft monitor #command waits in event mode
  

  терм2:

  # ebtables -L
  Bridge table: filter
  
  Bridge chain: INPUT, entries: 0, policy: ACCEPT
  
  Bridge chain: FORWARD, entries: 0, policy: ACCEPT
  
  Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
  

  термин 1 снова (Более новая версия Fedora nftables будет отображать -200приоритет моста значение с его символическим эквивалентомfilter):

  add table bridge filter
  add chain bridge filter INPUT { type filter hook input priority -200; policy accept; }
  add chain bridge filter FORWARD { type filter hook forward priority -200; policy accept; }
  add chain bridge filter OUTPUT { type filter hook output priority -200; policy accept; }
  # new generation 7 by process 16326 (ebtables)
  

Поскольку базовые цепочки не содержат правил и имеют политику принятия , это не повлияет ни на что. Система также требует наличия моста, чтобы эта таблица и цепочки вообще использовались.

Если CentOS8 и ваша текущая версия Fedora все еще достаточно близки, это может быть создано с помощью службы systemd ebtables из пакета iptables -ebtables . Если вам не нужна фильтрация моста, вы можете удалить этот пакет. Вы все еще можете использовать для этого nft , если это действительно необходимо.

Тот факт, что добавленная таблица относится к семейству bridge , говорит о том, что это ebtables , а не iptables , ip6tables или arptables , которые все будут давать одинаковое поведение, создавая, если еще не представлено, другое семейство таблиц (соответственно. ip , ip6 или arp)и его базовые цепи. Поэтому следует избегать использования одних и тех же имен таблиц, чтобы избежать конфликтов.или, по крайней мере, не та же комбинация table+chain (например, :правило nft в цепочкеip filter INPUT(верхнего регистра )может конфликтовать с iptables и т. д.)

больше информации об этом здесь:

Переход с iptables на nftables -Вики nftables

Устаревшие инструменты xtables -Вики nftables

Использование iptables -nft :гибридного брандмауэра Linux -Red Hat

О дополнительном вопросе:

Ваши правила разрешают базовое использование клиента (, включая доступ по SSH из локальной сети ), несмотря на одно важное исключение:

udp sport 53 accept

позволит получить доступ к любому UDP-порту вашей системы, если «сканирование» выполняется с исходного порта UDP 53.

Замените его этим более разумным правилом.:

iif lo accept

для обеспечения беспрепятственной локальной связи (, включая возможный локальный DNS-сервер ).