iptables
, ip6tables
, arptables
i ebtables
.
nft
. A partir de Debian Buster, s'usa nftables per defecte. Les ordres esmentades anteriorment són proporcionades per versions, que utilitzen l'API nftables del nucli, per defecte. Si una requerís les ordres “clàssiques”, els binaris corresponents es poden ajustar utilitzant update-alternatives
.
#
apt install -y nftables
Reading package lists... Done ... #
systemctl enable nftables.service
Created symlink /etc/systemd/system/sysinit.target.wants/nftables.service → /lib/systemd/system/nftables.service.
ip
, ip6
, inet
, arp
i bridge
. S'utilitzarà ip
si no s'especifica la família.
accept
(acceptar), drop
(retirar), queue
(encuar), continu
(continuar), return
(retornar),jump chain
(saltar cadena) i goto chain
(anar a cadena).
iptables-translate
i ip6tables-translate
es poden utilitzar per traduir ordres antigues d'iptables a la nova sintaxi d'nftables. També es poden traduir conjunts sencers de regles, en aquest cas migrem les regles configurades en un ordinador que té instal·lat Docker:
#
iptables-save > iptables-ruleset.txt
#
iptables-restore-translate -f iptables-ruleset.txt
# Translated by iptables-restore-translate v1.8.9 on Wed Aug 14 00:35:02 2024 add table ip filter add chain ip filter INPUT { type filter hook input priority 0; policy accept; } add chain ip filter FORWARD { type filter hook forward priority 0; policy drop; } add chain ip filter OUTPUT { type filter hook output priority 0; policy accept; } add chain ip filter DOCKER add chain ip filter DOCKER-ISOLATION-STAGE-1 add chain ip filter DOCKER-ISOLATION-STAGE-2 add chain ip filter DOCKER-USER add rule ip filter FORWARD counter jump DOCKER-USER add rule ip filter FORWARD counter jump DOCKER-ISOLATION-STAGE-1 add rule ip filter FORWARD oifname "docker0" ct state related,established counter accept add rule ip filter FORWARD oifname "docker0" counter jump DOCKER add rule ip filter FORWARD iifname "docker0" oifname != "docker0" counter accept add rule ip filter FORWARD iifname "docker0" oifname "docker0" counter accept add rule ip filter DOCKER-ISOLATION-STAGE-1 iifname "docker0" oifname != "docker0" counter jump DOCKER-ISOLATION-STAGE-2 add rule ip filter DOCKER-ISOLATION-STAGE-1 counter return add rule ip filter DOCKER-ISOLATION-STAGE-2 oifname "docker0" counter drop add rule ip filter DOCKER-ISOLATION-STAGE-2 counter return add rule ip filter DOCKER-USER counter return add table ip nat add chain ip nat PREROUTING { type nat hook prerouting priority -100; policy accept; } add chain ip nat INPUT { type nat hook input priority 100; policy accept; } add chain ip nat OUTPUT { type nat hook output priority -100; policy accept; } add chain ip nat POSTROUTING { type nat hook postrouting priority 100; policy accept; } add chain ip nat DOCKER add rule ip nat PREROUTING fib daddr type local counter jump DOCKER add rule ip nat OUTPUT ip daddr != 127.0.0.0/8 fib daddr type local counter jump DOCKER add rule ip nat POSTROUTING oifname != "docker0" ip saddr 172.17.0.0/16 counter masquerade add rule ip nat DOCKER iifname "docker0" counter return # Completed on Wed Aug 14 00:35:02 2024 #
iptables-restore-translate -f iptables-ruleset.txt > ruleset.nft
#
nft -f ruleset.nft
#
nft list ruleset
# Warning: table ip nat is managed by iptables-nft, do not touch! table ip nat { chain DOCKER { iifname "docker0" counter packets 0 bytes 0 return iifname "docker0" counter packets 0 bytes 0 return } chain POSTROUTING { type nat hook postrouting priority srcnat; policy accept; oifname != "docker0" ip saddr 172.17.0.0/16 counter packets 0 bytes 0 masquerade oifname != "docker0" ip saddr 172.17.0.0/16 counter packets 0 bytes 0 masquerade } chain PREROUTING { type nat hook prerouting priority dstnat; policy accept; fib daddr type local counter packets 0 bytes 0 jump DOCKER fib daddr type local counter packets 0 bytes 0 jump DOCKER } chain OUTPUT { type nat hook output priority -100; policy accept; ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump DOCKER ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump DOCKER } chain INPUT { type nat hook input priority 100; policy accept; } } # Warning: table ip filter is managed by iptables-nft, do not touch! table ip filter { chain DOCKER { } chain DOCKER-ISOLATION-STAGE-1 { iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-2 counter packets 0 bytes 0 return iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-2 counter packets 0 bytes 0 return } chain DOCKER-ISOLATION-STAGE-2 { oifname "docker0" counter packets 0 bytes 0 drop counter packets 0 bytes 0 return oifname "docker0" counter packets 0 bytes 0 drop counter packets 0 bytes 0 return } chain FORWARD { type filter hook forward priority filter; policy drop; counter packets 0 bytes 0 jump DOCKER-USER counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-1 oifname "docker0" ct state related,established counter packets 0 bytes 0 accept oifname "docker0" counter packets 0 bytes 0 jump DOCKER iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 accept iifname "docker0" oifname "docker0" counter packets 0 bytes 0 accept counter packets 0 bytes 0 jump DOCKER-USER counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-1 oifname "docker0" ct state established,related counter packets 0 bytes 0 accept oifname "docker0" counter packets 0 bytes 0 jump DOCKER iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 accept iifname "docker0" oifname "docker0" counter packets 0 bytes 0 accept } chain DOCKER-USER { counter packets 0 bytes 0 return counter packets 0 bytes 0 return } chain INPUT { type filter hook input priority filter; policy accept; } chain OUTPUT { type filter hook output priority filter; policy accept; } }
iptables-nft
, ip6tables-nft
, arptables-nft
i ebtables-nft
són versions d'iptables que utilitzen l'API nftables, de manera que els usuaris poden seguir utilitzant la sintaxi de l'antic iptables amb ells, però això no és recomanable; aquestes eines només s'han d'utilitzar per a compatibilitat amb versions anteriors.
nft
permeten manipular taules, cadenes i regles. L'opció table
admet múltiples operacions: add
, create
, delete
, list
i flush
. nft add table ip6 mangle
afegeix una taula nova de la família ip6
.
filter
, podeu executar la següent ordre (tingueu en compte que el punt i coma s'escapa amb una barra inversa quan s'utilitza Bash):
#
nft add chain filter input { type filter hook input priority 0 \; }
nft add rule [família] taula cadena handle handle statement
.
insert
és similar a la comanda add
, però la regla donada és ubicada al començament de la cadena o abans de la regla amb «handle» donat en lloc de fer-ho al final o després d'aquesta regla. Per exemple, la següent ordre insereix una regla abans de la regla amb el «handler» número 8:
#
nft insert rule filter output position 8 ip daddr 127.0.0.8 drop
nft
executades no fan canvis permanents a la configuració, de manera que es perden si no es desen. Les regles del tallafocs es troben a /etc/nftables.conf
. Una manera senzilla de desar la configuració actual del tallafocs d'una manera permanent és executar nft list ruleset > /etc/nftables.conf
com a superusuari.
nft
permet moltes més operacions, vegeu la seva pàgina del manual nft(8) per a més informació.
/etc/nftables.conf
i executar systemctl enable nftables
com a superusuari. Podeu aturar el tallafocs executant nft flush ruleset
com a superusuari.
up
del fitxer /etc/network/interfaces
. En el següent exemple, l'script s'emmagatzema sota /usr/local/etc/arrakis.fw
.
Exemple 14.1. fitxer interfaces
cridant l'script del tallafocs
auto eth0 iface eth0 inet static address 192.168.0.1 network 192.168.0.0 netmask 255.255.255.0 broadcast 192.168.0.255 up /usr/local/etc/arrakis.fw