NFTables config z Neta

Zagadnienia bezpieczeństwa w systemie
Awatar użytkownika
solaris7
Beginner
Posty: 139
Rejestracja: 07 września 2017, 12:08

NFTables config z Neta

Post autor: solaris7 »

Taki config z neta dla desktopa będzie dobry? :) :)

Kod: Zaznacz cały

# nano /etc/nftables.conf

Kod: Zaznacz cały

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;

                # accept any localhost traffic
                iif lo accept

                # accept traffic originated from us
                ct state established,related accept

                # activate the following line to accept common local services
                #tcp dport { 22, 80, 443 } ct state new accept

                # accept neighbour discovery otherwise IPv6 connectivity breaks.
                ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit,  nd-router-advert, nd-neighbor-advert } accept

                # count and drop any other traffic
                counter drop
        }
}
http://forums.debian.net/viewtopic.php? ... es#p717071
Awatar użytkownika
lizard
Beginner
Posty: 287
Rejestracja: 08 lutego 2016, 18:47

Re: NFTables config z Neta

Post autor: lizard »

Nie, nie będzie dobry, ponieważ nie rozumiesz, o co w nich chodzi. Nic co robisz, a nie rozumiesz nie jest dobre i prędzej czy później spowoduje problemy.
Awatar użytkownika
solaris7
Beginner
Posty: 139
Rejestracja: 07 września 2017, 12:08

Re: NFTables config z Neta

Post autor: solaris7 »

Mały opis co to robi:

Domyślny plik konfiguracyjny zezwala na cały ruch do interfejsu pętli zwrotnej, zezwala na cały ruch pochodzący z pulpitu i usuwa wszystkie inne. Oznacza to, że nawet pingi z Twojej sieci nie otrzymają odpowiedzi.

Nie jest konieczne otwieranie portu 22, chyba że chcesz w nim SSH, a 80 i 443 nie muszą być otwierane, aby przeglądać sieć. Będzie działać dobrze przy zamkniętych portach.

Ja nie znam się na tworzeniu reguł zapory dlatego szukam na desktopa jakiegoś takiego gotowego confingu, jak nie to to może zobaczę confing Morfika z bloga o przechodzeniu na nftables. I dodam NAT bo czasami używam vBox.

https://morfikov.github.io/post/migracj ... -debianie/

Tak to używam tego confingu Yampressa chyba że spróbuje zrobić translacje tego.
Awatar użytkownika
lizard
Beginner
Posty: 287
Rejestracja: 08 lutego 2016, 18:47

Re: NFTables config z Neta

Post autor: lizard »

Widzę, że Google Translator wciąż działa. ;)

Czy na desktopie, na którym nie ma uruchomionych usług, jest potrzeba uruchamiania firewalla? Wg mnie nie. Jeżeli chodzi o VirtualBoksa, to ma on w sobie NAT, więc tworzenie reguł mija się z celem.
Awatar użytkownika
Yampress
Administrator
Posty: 6382
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Re: NFTables config z Neta

Post autor: Yampress »

a jeśli sieć w virtualboxie masz ustawioną jako most? a nie NAT?

A maszyna chodzi na dostępnym ip?
xdg12
Posty: 9
Rejestracja: 06 maja 2023, 10:42

Re: NFTables config z Neta

Post autor: xdg12 »

Jak w nftables zablokować kilka ip jednocześnie?
ODPOWIEDZ