1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Nftables - konektivita z localhostu
« předchozí další »
Stran: [1]

Nftables - konektivita z localhostu

  • 3 Odpovědí
  • 1459 Zhlédnutí

vesterna12

  • ***
  • 127
  • byrokracie zabíjí kreativitu
    • Zobrazit profil
    • E-mail
Nftables - konektivita z localhostu
« kdy: 15. 12. 2022, 19:21:35 »
Po aplikování následujících pravidel v Nftables jsem bez konektivity z localhostu

Kód: [Vybrat]
add table ip Restrictive

add chain ip Restrictive Incoming  { type filter hook input priority 0; policy drop; }
add chain ip Restrictive Redirect  { type filter hook forward priority 0; policy drop; }
add chain ip Restrictive Outgoing  { type filter hook output priority 0; policy accept; }

add rule ip Restrictive Incoming iifname lo counter accept
add rule ip Restrictive Incoming oifname lo counter accept


Čekal bych, že pravidlo
add chain ip Restrictive Outgoing  { type filter hook output priority 0; policy accept; }
povolí všechna odchozí spojení, ale na internet se nedostanu.
Pokud pravidlo

Kód: [Vybrat]
add rule ip Restrictive Incoming iifname lan33 counter accept
add rule ip Restrictive Incoming oifname lan33 counter accept

povolím i pro lan tak to sice funguje, ale všichni se z lan dostanou na všechny služby.


IP zaznamenána

Reklama

  • * * * * *

Death Walker

  • *****
  • 506
    • Zobrazit profil
    • E-mail
Re:Nftables - konektivita z localhostu
« Odpověď #1 kdy: 16. 12. 2022, 10:28:12 »
Citace: vesterna12  15. 12. 2022, 19:21:35
Po aplikování následujících pravidel v Nftables jsem bez konektivity z localhostu

Kód: [Vybrat]
add table ip Restrictive

add chain ip Restrictive Incoming  { type filter hook input priority 0; policy drop; }
add chain ip Restrictive Redirect  { type filter hook forward priority 0; policy drop; }
add chain ip Restrictive Outgoing  { type filter hook output priority 0; policy accept; }

add rule ip Restrictive Incoming iifname lo counter accept
add rule ip Restrictive Incoming oifname lo counter accept


Čekal bych, že pravidlo
add chain ip Restrictive Outgoing  { type filter hook output priority 0; policy accept; }
povolí všechna odchozí spojení, ale na internet se nedostanu.
Pokud pravidlo

Kód: [Vybrat]
add rule ip Restrictive Incoming iifname lan33 counter accept
add rule ip Restrictive Incoming oifname lan33 counter accept

povolím i pro lan tak to sice funguje, ale všichni se z lan dostanou na všechny služby.

Na internet sa tymto dostanete, server z internetu vam aj odpovie, len problem je ze tu odpoved zahodite.
IP zaznamenána

by_cx

  • ****
  • 290
    • Zobrazit profil
    • E-mail
Re:Nftables - konektivita z localhostu
« Odpověď #2 kdy: 16. 12. 2022, 11:02:29 »
Citace: vesterna12  15. 12. 2022, 19:21:35
Kód: [Vybrat]
{ type filter hook input priority 0; policy drop; }

Když povolíš existující spojení v Incoming chainu, tak to bude fungovat.

Kód: [Vybrat]
add chain ip Restrictive Incoming ct state { established, related } accept
Snad jsem to napsal dobře.

Je tu dobrý seriál o nftables.

https://www.root.cz/serialy/firewall-s-nftables/
IP zaznamenána

NaRootuJeNeskutecneDebilniRegistracniFormular

Re:Nftables - konektivita z localhostu
« Odpověď #3 kdy: 16. 12. 2022, 12:01:12 »
Jedna technicka - misto iifname lo pouzivejte iif lo. Lo interface mate vzdycky. Iifname je urceny pro interfacy, ktere se mohou objevit az po nacteni pravidel.
IP zaznamenána
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. Nftables - konektivita z localhostu