Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: vesterna12 15. 12. 2022, 19:21:35

Název: Nftables - konektivita z localhostu
Přispěvatel: vesterna12 15. 12. 2022, 19:21:35

Po aplikování následujících pravidel v Nftables jsem bez konektivity z localhostu

Kód: [Vybrat]

add table ip Restrictive

add chain ip Restrictive Incoming  { type filter hook input priority 0; policy drop; }
add chain ip Restrictive Redirect  { type filter hook forward priority 0; policy drop; }
add chain ip Restrictive Outgoing  { type filter hook output priority 0; policy accept; }

add rule ip Restrictive Incoming iifname lo counter accept
add rule ip Restrictive Incoming oifname lo counter accept


Čekal bych, že pravidlo
add chain ip Restrictive Outgoing  { type filter hook output priority 0; policy accept; }
povolí všechna odchozí spojení, ale na internet se nedostanu.
Pokud pravidlo

Kód: [Vybrat]

add rule ip Restrictive Incoming iifname lan33 counter accept
add rule ip Restrictive Incoming oifname lan33 counter accept

povolím i pro lan tak to sice funguje, ale všichni se z lan dostanou na všechny služby.

Název: Re:Nftables - konektivita z localhostu
Přispěvatel: Death Walker 16. 12. 2022, 10:28:12

Citace: vesterna12  15. 12. 2022, 19:21:35

Po aplikování následujících pravidel v Nftables jsem bez konektivity z localhostu

Kód: [Vybrat]

add table ip Restrictive

add chain ip Restrictive Incoming  { type filter hook input priority 0; policy drop; }
add chain ip Restrictive Redirect  { type filter hook forward priority 0; policy drop; }
add chain ip Restrictive Outgoing  { type filter hook output priority 0; policy accept; }

add rule ip Restrictive Incoming iifname lo counter accept
add rule ip Restrictive Incoming oifname lo counter accept


Čekal bych, že pravidlo
add chain ip Restrictive Outgoing  { type filter hook output priority 0; policy accept; }
povolí všechna odchozí spojení, ale na internet se nedostanu.
Pokud pravidlo

Kód: [Vybrat]

add rule ip Restrictive Incoming iifname lan33 counter accept
add rule ip Restrictive Incoming oifname lan33 counter accept

povolím i pro lan tak to sice funguje, ale všichni se z lan dostanou na všechny služby.

Na internet sa tymto dostanete, server z internetu vam aj odpovie, len problem je ze tu odpoved zahodite.

Název: Re:Nftables - konektivita z localhostu
Přispěvatel: by_cx 16. 12. 2022, 11:02:29

Citace: vesterna12  15. 12. 2022, 19:21:35

Kód: [Vybrat]

{ type filter hook input priority 0; policy drop; }

Když povolíš existující spojení v Incoming chainu, tak to bude fungovat.

Kód: [Vybrat]

add chain ip Restrictive Incoming ct state { established, related } accept
Snad jsem to napsal dobře.

Je tu dobrý seriál o nftables.

https://www.root.cz/serialy/firewall-s-nftables/

Název: Re:Nftables - konektivita z localhostu
Přispěvatel: NaRootuJeNeskutecneDebilniRegistracniFormular 16. 12. 2022, 12:01:12

Jedna technicka - misto iifname lo pouzivejte iif lo. Lo interface mate vzdycky. Iifname je urceny pro interfacy, ktere se mohou objevit az po nacteni pravidel.