NFTables config z Neta

Zagadnienia bezpieczeństwa w systemie
Awatar użytkownika
solaris7
Beginner
Posty: 120
Rejestracja: 07 września 2017, 12:08

NFTables config z Neta

Post autor: solaris7 » 31 maja 2020, 23:43

Taki config z neta dla desktopa będzie dobry? :) :)

Kod: Zaznacz cały

# nano /etc/nftables.conf

Kod: Zaznacz cały

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;

                # accept any localhost traffic
                iif lo accept

                # accept traffic originated from us
                ct state established,related accept

                # activate the following line to accept common local services
                #tcp dport { 22, 80, 443 } ct state new accept

                # accept neighbour discovery otherwise IPv6 connectivity breaks.
                ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit,  nd-router-advert, nd-neighbor-advert } accept

                # count and drop any other traffic
                counter drop
        }
}
http://forums.debian.net/viewtopic.php? ... es#p717071

Awatar użytkownika
lizard
Beginner
Posty: 276
Rejestracja: 08 lutego 2016, 18:47

Re: NFTables config z Neta

Post autor: lizard » 01 czerwca 2020, 21:28

Nie, nie będzie dobry, ponieważ nie rozumiesz, o co w nich chodzi. Nic co robisz, a nie rozumiesz nie jest dobre i prędzej czy później spowoduje problemy.

Awatar użytkownika
solaris7
Beginner
Posty: 120
Rejestracja: 07 września 2017, 12:08

Re: NFTables config z Neta

Post autor: solaris7 » 02 czerwca 2020, 00:08

Mały opis co to robi:

Domyślny plik konfiguracyjny zezwala na cały ruch do interfejsu pętli zwrotnej, zezwala na cały ruch pochodzący z pulpitu i usuwa wszystkie inne. Oznacza to, że nawet pingi z Twojej sieci nie otrzymają odpowiedzi.

Nie jest konieczne otwieranie portu 22, chyba że chcesz w nim SSH, a 80 i 443 nie muszą być otwierane, aby przeglądać sieć. Będzie działać dobrze przy zamkniętych portach.

Ja nie znam się na tworzeniu reguł zapory dlatego szukam na desktopa jakiegoś takiego gotowego confingu, jak nie to to może zobaczę confing Morfika z bloga o przechodzeniu na nftables. I dodam NAT bo czasami używam vBox.

https://morfikov.github.io/post/migracj ... -debianie/

Tak to używam tego confingu Yampressa chyba że spróbuje zrobić translacje tego.

Awatar użytkownika
lizard
Beginner
Posty: 276
Rejestracja: 08 lutego 2016, 18:47

Re: NFTables config z Neta

Post autor: lizard » 02 czerwca 2020, 08:41

Widzę, że Google Translator wciąż działa. ;)

Czy na desktopie, na którym nie ma uruchomionych usług, jest potrzeba uruchamiania firewalla? Wg mnie nie. Jeżeli chodzi o VirtualBoksa, to ma on w sobie NAT, więc tworzenie reguł mija się z celem.

ODPOWIEDZ