nftables foo - Lug-dd

28 Apr 2021


      Hallo,
als kleiner Nachtrag die nftables-Konfigdatei:
------------------------------Beisskante-----------------------------
# Diese Datei wird mit "nft -f nft.conf" eingelesen
# Dieses Regelwerk ist komplett sinnlos und dient nur als Beispiel
# fuer nftables-Konfiguration.
# Ausgeben des Regelwerks "nft list ruleset", das Ausgabeformat entspricht
# dem Format dieser Datei, kann also wieder von nft eingelesen werden.
# Altes Regelwerk komplett loeschen
flush ruleset
# Die Protokollfamilie "inet" umfasst ipv4 und ipv6
table inet filter {
    # Chain-Name "input", koennte auch anders heissen
    chain input {
    	# Hook heisst auch "input", hat aber mit dem
    	# Chain-Namen nichts zu tun
    	type filter hook input priority 0; policy accept;
    	# Stateful matching geht auch noch
    	ct state { established, related } accept
    }
    # Chain-Name "output", koennte auch anders heissen
    chain output {
    	# Hook heisst auch "output", hat aber mit dem
    	# Chain-Namen nichts zu tun
    	type filter hook output priority 0; policy accept;
    	# Neu gegenueber iptables: Mehr als eine Aktion pro Regel.
    	# Der counter muss vor accept/reject kommen, weil accept/reject
    	# eine finale Aktion in einer Regel ist.
    	tcp dport 23 counter accept
    	tcp dport 80 counter reject
    	# Loggen von https (ipv4 oder ipv6)
    	tcp dport 443 log accept
    	# Zur Chain "dns" springen
    	jump dns
    }
    # Chain ohne Hook (keine Basis-Chain)
    chain dns {
    	udp dport 53 log
    }
}
# Fuer sowas brauchte man bisher arptables
table arp filter {
    chain input {
    	type filter hook input priority 0; policy accept;
    	log
    }
    chain output {
    	type filter hook output priority 0; policy accept;
    	log
    }
}
# Masquerading fuer IPv4
table ip nat {
    chain postrouting {
    	type nat hook postrouting priority 100;
    	oif eth0 masquerade
    }
}
# Masquerading fuer IPv6 :-}
table ip6 nat {
    chain postrouting {
    	type nat hook postrouting priority 100;
    	oif eth0 masquerade
    }
}
# Paket noch vor dem prerouting-Hook abgreifen (ingress Hook)
table netdev filter {
    chain ingress {
    	type filter hook ingress device eth0 priority 0; policy accept;
    	# Wir missbrauchen es als schlechten tcpdump-Ersatz :-)
    	log
    }
}
------------------------------Beisskante-----------------------------
Gruss,
  Christian
-- 
Christian Perle                                    chris AT linuxinfotag.de
010111                                              http://chris.silmor.de/
101010                          LinuxGuitarKitesBicyclesBeerPizzaRaytracing