Описание тега nftables
Инфраструктура фильтрации пакетов, утилита пользовательского пространства и уровень совместимости для таблиц {ip,ip6}, разработанные как консолидированная замена для существующих структур таблиц {ip,ip6,arp,eb}
0
ответов
Что на самом деле делает gc-интервал в именованных наборах?
Я тестирую именованные наборы в своем наборе правил nftables, но не могу найти объяснения того, что gc-interval параметр на самом деле делает. В документации просто говорится: Интервал сбора мусора, доступен только при активном тайм-ауте или тайм- а…
23 ноя '18 в 22:50
1
ответ
Как установить максимальный лимит подключения с помощью nftables?
Я пытаюсь ограничить количество одновременных подключений к определенной службе, работающей на сервере Linux. Насколько я понимаю, это можно сделать в iptables с использованием connlimit модуль. Так, например, если я хотел ограничить одновременные п…
05 окт '18 в 04:48
2
ответа
Как переписать правила nftables, использующие имена хостов, для работы с несколькими адресами?
У меня есть это правило nftables: ip daddr { "0.nixos.pool.ntp.org", "1.nixos.pool.ntp.org", "2.nixos.pool.ntp.org", "3.nixos.pool.ntp.org" } udp dport ntp accept comment "Allow NTP traffic for system time" Цель состоит в том, чтобы разрешить трафик…
18 апр '19 в 13:27
0
ответов
Распределение трафика по нескольким соединениям strongswan IKEv2
Я хотел бы настроить, где клиент strongSwan подключается к нескольким конечным точкам с rightsubnet=0.0.0.0/0, Затем эта машина используется в качестве шлюза по умолчанию для нескольких машин. Когда я разрываю несколько соединений IPsec, у меня есть…
19 май '19 в 20:58
1
ответ
Альтернативная команда nftables, например, iptables -L -n -v
Есть альтернатива для команды iptables -L -n -v в nftables?? Мне нужен счетчик пакетов, которые захоронены на моем брандмауэре.
28 июн '17 в 21:40
1
ответ
Прозрачный межсетевой экран с nftables и VLAN
Я хочу попросить вас совета передового опыта в прозрачной сборке брандмауэра. У меня есть 2 сегмента сети и CentOS serv с 2 интерфейсами 10G. Я хочу фильтровать / отслеживать / ограничивать / отбрасывать трафик между сегментами. Трафик помечен. Долж…
29 июн '17 в 13:04
2
ответа
Ограничение скорости потока ICMP с помощью nftables
Я пытаюсь выяснить, как разрешить пинг ICMP на сервер с nftables, не подвергаясь атакам флуд. Вот мой начальный конфиг: table inet firewall { chain incoming { type filter hook input priority 0; policy drop; # established/related connections ct state…
10 окт '17 в 22:41
2
ответа
Альтернатива nftables для iptables -F
Просто есть ли быстрая альтернатива iptables -F команда (которая просто "удаляет все") для nftables? У такой вещи не было бы много теоретических целей, но обычно это спасатель для администрирования плохих / ошибочных настроек.
13 май '14 в 15:44
1
ответ
Мост nftables соответствует локальным пакетам
Я использую Arch Linux, и я установил мост с помощью утилиты bridge-utils. Теперь я хотел бы это сделать. Я хотел бы отбросить некоторые пакеты, проходящие через этот мост, позволяя этой машине свободно обмениваться данными с той, что находится за м…
07 ноя '17 в 20:38
1
ответ
Фильтрация трафика с IPv4 на IPv6 и наоборот
Я попытался отфильтровать (используя nftables, но я открыт для изменений, если он работает с использованием iptables) трафика, поступающего из сети IPv4 в сеть IPv6, но не могу понять, как это сделать. Предположим, у меня есть файл с этим правилом: …
21 май '18 в 18:56
2
ответа
Отбрасывать фрагментированные пакеты в nftables
Используя iptables можно блокировать фрагментированные пакеты с этим правилом: iptables -A INPUT -f -j DROP Но в nftables нет эквивалента. Есть ли способ сделать это?
22 апр '16 в 10:43
0
ответов
Неправильное применение правила Nftables при загрузке
Ubuntu 18.04.1. Точно такой же файл набора правил производит различное поведение, загружается ли система при загрузке (не работает) или загружается вручную после загрузки (работает правильно).В частности, при загрузке при загрузке nft идентифицирует…
29 авг '18 в 15:46
1
ответ
Конфигурация nftables - разрешить Mac на порт TCP
Я новый в брандмауэрах и т. д. прочитал краткий справочник как разрешить только мой mac-адрес (мое устройство - ноутбук, телефон и т. д.). разрешить моему макинтошу доступ к порту ssh (порт:22) попробовал это: ether saddr 00:00:00:00:00 tcp dport 22…
29 дек '16 в 23:26
0
ответов
NFTables смешивают наборы и конкатенации карт
У меня два nft правила: iifname $lan ip protocol tcp ip saddr $lan_addresses tcp dport {3128, 22} accept iifname $vpn ip protocol tcp ip saddr $vpn_addresses tcp dport {3128, 22} accept Мне было интересно, смогу ли я объединить их, используя конкате…
21 фев '19 в 14:15
1
ответ
Как я могу использовать nftables с пассивным FTP?
Ниже приведены правила разрешения пассивного FTP, которые не работают. / proc / sys / net / netfilter / nf_conntrack_helper установлен в 1 Модуль nf_conntrack_ftp загружен. Что может блокировать это? Мне действительно нужен счетчик? Действительно ли…
15 мар '19 в 15:32
0
ответов
nftables не регистрирует широковещательные ответы netbios как установленные, связанный трафик
Я использую Archlinux и пытаюсь настроить разрешение имени хоста с помощью netbios. В настоящее время я нахожусь в ситуации, когда разрешение работает только тогда, когда брандмауэр отключен. Мой тест: я запускаю "ping SERVER", чтобы увидеть, если р…
02 мар '19 в 21:57
1
ответ
Миграция правила arb ebtables в nftables
Я бы хотел перейти на nftables (Ubuntu trusty, ядро 3.19). Однако мне интересно, как перенести правила ebtables для пакетов ARP: -p ARP - запрос -arp-op --arp-ip-src 192.168.178.237 --arp-mac-src 2:fb:c5:e0:ef:a3 -j ПРИНЯТЬ Команда nft add rule br…
05 окт '15 в 11:10
0
ответов
Замена net_cls на nftables
В настоящее время я использую net_cls cgroup, чтобы классифицировать пакеты из процесса, а затем изменить их с помощью iptables. По мнению парней из ядра и systemd, net_cls устарела, а другие инструменты, такие как nftables, должны делать то же само…
21 авг '16 в 16:55
2
ответа
Мои правила nftables блокируют IPv6
Мой nftables.conf просто бежит flush ruleset затем includeмои правила брандмауэра. Я скопировал их из Arch wiki. Так что включены firewall.rules содержит: # An iptables-like firewall table firewall { chain incoming { type filter hook input priority …
05 сен '16 в 12:41
1
ответ
Правила nftable становятся недействительными при переподключении (VDSL, ppp0)
Я перестраиваю свой роутер, используя nftables на Debian Jessie. У меня есть рабочая установка до того момента, когда мой провайдер решит переназначить новый WAN IP путем повторного подключения моего DSL-канала. После такого переподключения маршрути…
16 окт '16 в 03:24