1
ответ
Можно ли фильтровать/отбрасывать пакеты MAC с помощью nftables
У меня есть две системы, которые подключены через Ethernet, и одна система имеет WiFi радио, которое обеспечивает доступ в Интернет. На этой диаграмме sys#2 имеет WiFi радио sys#1 <---> Ethernet <---> ...
05.07.2018
1
ответ
Настройте nftables так, чтобы разрешать соединения только через vpn и блокировать весь трафик ipv6.
Я пытаюсь настроить брандмауэр nftables в моем дистрибутиве Archlinux, который разрешает трафик только через vpn (и блокирует весь трафик ipv6, чтобы предотвратить любые утечки ipv6) Я играл ...
11.08.2017
0
ответов
карта nftables `порт `на `ip :порт `для DNAT
Можно ли иметь карту nftables, которая сопоставляет порт с портом ipv4 _addr :, где порт и порт ipv4 _addr :имеют разные номера портов TCP? Например, я хочу направить все входящие пакеты на порт 80 в контейнер, на котором запущен веб-сервер на порту 8080
04.10.2021
0
ответов
nftables :как использовать 1 общую карту (или установить )для разных, но связанных правил? (днат + вперед)
Я настраиваю брандмауэр + NAT с помощью nftables (v0.9.6 ). Инструмент предоставляет наборы и карты, чтобы избежать дублирования правил. Я хочу использовать одну общую структуру данных (set или map )для настройки DNAT и правил фильтрации (forward ). Когда
26.09.2021
0
ответов
Какие типы цепочек поддерживаются семейством nftables NETDEV?
Из краткого справочника nftables :Семейство относится к одному из следующих типов таблиц :ip, arp, ip6, мост, инет, нетдев. а также тип относится к типу создаваемой цепочки. Возможные типы: :filter :Поддерживается arp, bridge, ip
31.08.2021
0
ответов
Портирование Iptables на брандмауэр Nftables с метками conntrack
Привет, уважаемое сообщество, Мне трудно перенести мой очень функциональный брандмауэр iptables на nftables. Проблем с вводом/выводом/пересылкой нет, в основном это маркировка conntrack. Что я...
14.08.2021
0
ответов
блокировка устаревших параметров TCP
В Linux я хочу отбрасывать все пакеты, содержащие какие-либо устаревшие параметры tcp. Под устаревшими опциями я подразумеваю все те, у которых номер типа опции tcp выше 8. Как я могу сделать это с помощью nftables? Например,...
08.08.2021
0
ответов
Что такое журналы nftables
Что происходило во время этих событий входа в журналы ниже? ноя *8 09 :37 :12 ядро :[10967.520783] Новые входные пакеты :IN=lo OUT= MAC=00 :00 :00 :00 :00 :00 :00 :00 :00 :00 :00 :00 :08 :00 SRC=192.168.1.2 DST=192.168.1.2...
29.07.2021
0
ответов
Как фильтровать ARP-запросы -Запросы с помощью Nftables с использованием Raspberry Pi в качестве точки доступа (с помощью hostapd)
Я пытаюсь отфильтровать запросы ARP -, поступающие с определенных IP-адресов -в моей сети. Я пытался :table arp filter { цепочка ввода { type filter hook input priority 0; падение политики;...
27.07.2021
0
ответов
Маршрутизатор с nftables работает неправильно
У меня есть Debian 4.19.194 -1 в качестве сервера-маршрутизатора с LAN, WAN, PPPOE (в качестве шлюза )и COMPUTER1 в сети LAN, который должен иметь доступ к Интернету через маршрутизатор Debian. В качестве брандмауэра использую nftables с...
19.07.2021
0
ответов
Ошибка nftables :синтаксическая ошибка, неожиданный саддр
Я хотел добавить правило arp saddr ip 192.168.2.1 counter accept в свой брандмауэр Nftables. При чтении файла конфигурации -с помощью sudo nft -f /etc/nftables2.conf я получаю сообщение об ошибке -/etc/nftables2.conf :...
15.07.2021
0
ответов
Nftables не соответствуют значению TOS в IP-пакетах
Это в Ubuntu 20.04. Я пытаюсь написать правило для nftables, которое будет соответствовать всем IP-пакетам, полученным на интерфейсе eth1 и имеющим определенное значение TOS (0x02 ). Моя попытка до сих пор :sudo nft добавить...
11.07.2021
0
ответов
Докер белого списка nftables
На моем компьютере запущены два контейнера Docker, на которых активна очень ограничительная конфигурация nftables. Я бы хотел, чтобы это было так, но доступ к док-контейнерам извне в белый список....
09.07.2021
0
ответов
Перевод строковых правил iptables в nftables
Я переношу правила с iptable на nftable, следуя инструкции Переход с iptable на nftable Теперь у меня есть несколько правил блокировки IP-адресов и портов, а также правила iptable на основе строк, но с помощью...
25.06.2021
0
ответов
обратная косая черта (\ )позиция в грамматике nftables
Как описано на веб-странице :руководство по nftables ; = больше команд или параметров для подражания \ = разбить правило на несколько строк Для команды :nft add chain ip traffic -filter output { type filter hook...
02.05.2021
0
ответов
Как использовать переменную для имени устройства при объявлении цепочки для использования входного хука (netdev )?
Для входного хука таблицы фильтров netdev я хотел бы сохранить имя устройства в переменной, но почему-то не могу понять правильный синтаксис. Это работает следующим образом :таблица netdev filter { цепочка...
01.05.2021
0
ответов
NFTables -Как настроить простую переадресацию IP и портов?
Я пытаюсь настроить прокси-сервер для переадресации портов, используя Raspberry Pi 4 с NFTables. Я хочу продублировать простые возможности переадресации портов дешевого домашнего маршрутизатора nat. Это компонент более крупного...
17.04.2021
0
ответов
nftables nat блокирует локальный доступ к порту
Я настроил nftables на своем сервере и хочу перенаправить весь входящий трафик на определенные защищенные порты (, например. 80 )для перенаправления на более высокий порт, который доступен без прав root (, например....
05.11.2020
0
ответов
Порядок обработки пакетов в nftables
Я перехожу с iptables на nftables. У меня есть основные вопросы о порядке обработки пакетов в nftables. Так как можно создать несколько таблиц одного типа, скажем inet, а также цепочки могут быть...
01.09.2020
0
ответов
Используете qemu/kvm с nftables? (без брандмауэра!)
С помощью libvirt/qemu/kvm вы можете определить мост (или более )для использования гостевыми машинами. Механизм libvirt должен позаботиться о создании моста -, обычно называемого virbr0, с virbr0 -nic (...
30.08.2020
0
ответов
Есть ли в nftables своего рода подстановочные знаки?
В iptables можно было использовать eth+ в качестве имени интерфейса для сопоставления с любым интерфейсом, начинающимся с eth (или, как более практичный пример, это также работало для сопоставления virbr+ и veth+, т. е. + казалось, что...
28.08.2020
0
ответов
Как атомарно заменить правила nftables?
Я пытаюсь атомарно заменить правила nftables. Официальная вики Nftables утверждает, что -f является рекомендуемым способом достижения этого. Однако, когда я запускаю nft -f /path/to/new/rules в Debian Buster, новый...
18.07.2020
0
ответов
Сравните байты `saddr` и `daddr` в NFTables
У меня много подсетей 10.xy0/24, где 0 ≤ x ≤ 50 и 0 ≤ y ≤ 20 Я хотел бы разрешить трафик между 10.xy0/24 и 10.zy0/24 для каждого значения (x, y, z).Я мог бы написать скрипт, используя ...
05.06.2020
0
ответов
Создать динамический черный список с помощью nftables
Я хочу создать динамический черный список с помощью nftables. В версии 0.8.3 на встроенном устройстве я создаю набор правил, который выглядит следующим образом: набор правил nft list :table inet filter { установить черную дыру { тип...
24.04.2020
0
ответов
Упрощение правил nftables (сетевых фильтров)
У меня есть работающий набор правил nftables. Однако он очень длинный и содержит много повторяющегося кода: Точный (отличается всего несколькими символами) дубликат для ip4 и ip6.
Цепочки правил, которые разветвляются на почти ...
06.04.2020
0
ответов
Как фильтровать пакеты по-разному в зависимости от времени суток в nftables?
Я хотел бы, например. блокировать определенный трафик с 00:00 до 04:00. Возможно ли это в nftables? (Конечно, я могу просто установить задание cron, которое изменит конфигурацию в это время, но я хотел бы...
12.11.2019
0
ответов
Ошибка конфигурации Nftables: указаны конфликтующие протоколы: inet-service v. icmp
Я пытаюсь создать простой межсетевой экран с отслеживанием состояния с nftables после Arch Linux Руководство по nftables. Я разместил этот вопрос на форуме Arch Linux и так и не получил ответа. После завершения ...
01.03.2019
0
ответов
Правила Nftables исчезли после перезагрузки!
Я пробовал это: iptables -F
ip6tables -F sudo nft list ruleset> /etc/nftables.conf sudo service netfilter-persistent save Но после перезагрузки, когда я запускаю набор правил nft list, я ничего не вижу. Я думаю ...
01.03.2019
0
ответов
Что делать с циклическими зависимостями, вызванными тем, что динамический пользователь systemd не существует до запуска службы?
Я бы хотел, чтобы dnscrypt-proxy запускался как динамический пользователь, а не как root. Но я также хотел бы использовать правило брандмауэра в nftables, где я указываю пользователя dnscrypt-proxy, чтобы он мог подключаться к ...
16.01.2018
0
ответов
Как выполнить маскарадинг с помощью NFTables
Как мне реализовать такое правило маскарадинга iptables one в NFTables: iptables -t nat -A POSTROUTING -s 10.5.6.0/24 -o eth0 -j MASQUERADE Я искал его, но не мог узнать, как установить ...
12.05.2017