Jewox: Die Seite wurde neu angelegt: „{{SEITENTITEL:nftables}} Linux besaß bereits mehrere Paketfilter-Implementierungen: von '''ipfwadm''' zu '''ipchains''' und '''iptables''' zu '''nftables'''.…“

2018-11-04T12:09:02Z

Die Seite wurde neu angelegt: „{{SEITENTITEL:nftables}} Linux besaß bereits mehrere Paketfilter-Implementierungen: von '''ipfwadm''' zu '''ipchains''' und '''iptables''' zu '''nftables'''.…“

Neue Seite

{{SEITENTITEL:nftables}}

Linux besaß bereits mehrere Paketfilter-Implementierungen: von '''ipfwadm''' zu '''ipchains''' und '''iptables''' zu '''nftables'''. Letzteres ist seit Version 3.13 Bestandteil des Linux-Kernels und löst das bis dahin bevorzugte [[iptables]] ab. Es enthält die meisten iptables-Funktionen sowie einige zusätzliche Eigenschaften und ersetzt die Kommandos des Vorgängers durch das Werkzeug ''nft''. Dank der Kompatibilitätsschicht von nftables lassen sich die alten Kommandos und Einstellungen zunächst weiterverwenden.

== Erste Schritte ==

Prüfen, ob das Kernel-Modul {{ic|nf_tables}} vom aktuellen Kernel verwendet werden kann

modinfo nf_tables

Wenn erfolgreich, dann entsprechend Wiki [[Kernelmodule]] das Modul beim Systemstart automatisch laden

Bei Verwendung von Tools wie [[ferm]] diese beenden und deren Autostart deaktivieren

systemctl disable --now ferm.service

In dem Fall ferm kann dies auch gleich deinstalliert werden, da ferm nftables nicht unterstützt

pacman -Rcsn ferm

Wer stattdessen die Dienste {{ic|iptables.service}} und {{ic|ip6tables.service}} verwendet - diese beenden und deren Autostart deaktivieren

systemctl disable --now iptables.service

systemctl disable --now ip6tables.service

Zum Schluß alle bestehenden Firewall-Regeln löschen

iptables -F

ip6tables -F

{{hinweis|Aktuell sollte man das Kernel-Modul {{ic|ip_tables}} nicht in die blacklist eintragen und auch das Paket {{ic|iptables}} lässt sich nicht ohne weiteres deinstallieren.}}

{{installation|repo=extra|paket=nftables}}

Das Packet enthält die Datei {{ic|/etc/nftables.conf}} mit einer Beispielkonfiguration.

systemctl enable --now nftables.service # Für den automatischen Start vormerken und direkt starten

== Konfiguration ==

# systemctl stop nftables.service
# nano /etc/nftables.conf # Syntaxhighlight vorhanden
# systemctl start nftables.service
# systemctl status nftables.service

== nft ==

# nft list tables
table inet firewall # Siehe Bsp.

# nft list table inet firewall

# nft list table inet firewall -n -a

# nft list ruleset

== Beispiel ==

#!/usr/bin/nft -f
flush ruleset
table inet firewall {
chain incoming {
type filter hook input priority 0; policy drop;

ct state established,related accept
ct state invalid drop

iifname lo accept

ip6 nexthdr icmpv6 icmpv6 type echo-request limit rate 10/second accept
ip6 nexthdr icmpv6 icmpv6 type echo-request counter drop

ip6 nexthdr icmpv6 icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, echo-reply, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } accept

ip protocol icmp icmp type echo-request limit rate 10/second accept
ip protocol icmp icmp type echo-request counter drop
}

chain forwarding {
type filter hook forward priority 0; policy drop;
}

chain outgoing {
type filter hook output priority 0; policy accept;
}
}

== Weblinks ==

* [https://en.wikipedia.org/wiki/Nftables Wikipedia nftables]{{sprache|en}}
* [https://de.wikipedia.org/wiki/Netfilter#nftables Wikipedia nftables]{{sprache|de}}
* [https://wiki.nftables.org/wiki-nftables/index.php/Main_Page nftables wiki]{{sprache|en}}
* [https://netfilter.org/projects/nftables The netfilter.org "nftables" project]{{sprache|en}}

[[Kategorie:Netzwerk]]
[[Kategorie:Sicherheit]]

[[en:nftables]]

Nftables - Versionsgeschichte

Jewox: Die Seite wurde neu angelegt: „{{SEITENTITEL:nftables}} Linux besaß bereits mehrere Paketfilter-Implementierungen: von '''ipfwadm''' zu '''ipchains''' und '''iptables''' zu '''nftables'''.…“