Perguntas sobre 'nftables'

nftables é um projeto que fornece filtragem de pacotes e classificação de pacotes no Linux
2
respostas

Onde obter os nftables?

Até onde eu entendi, o recurso do kernel nftables existe no kernel que vem com o Ubuntu 14.04. Como é comprovado pelos dois comandos a seguir: # grep -E '(NF_TABLES|NFT_)' /boot/config-$(uname -r) CONFIG_NF_TABLES=m CONFIG_NFT_EXTHDR=m CON...
02.05.2014 / 22:56
2
respostas

nftables alternativa para iptables -F

Simplesmente, existe alguma alternativa rápida do comando iptables -F (que apenas "exclui tudo") para os nftables? Tal coisa não teria muitos propósitos teóricos, mas geralmente é um salvamento para a administração de configurações ruins /...
13.05.2014 / 17:44
1
resposta

Firewall transparente com nftables e VLANs

Eu quero pedir conselhos sobre práticas recomendadas na criação de firewalls transparentes. Eu tenho 2 segmentos de rede e o serviço CentOS com 2 interfaces 10G. Quero filtrar / monitorar / limitar / descartar tráfego entre segmentos. O tráfe...
29.06.2017 / 15:04
1
resposta

Como você define um limite de conexão máximo com nftables?

Eu estou olhando para limitar o número de conexões simultâneas para um determinado serviço em execução em um servidor Linux. Meu entendimento é que isso pode ser feito em iptables usando o módulo connlimit . Por exemplo, se eu quisesse limi...
05.10.2018 / 06:48
1
resposta

Fail2ban com nftables e IPv6

EDIT: adicionado arquivador adicional .conf e texto ligeiramente alterado, como sugerido por Marco Estou executando o Fail2ban v0.10 que deve suportar o IPv6. Eu configurei o Fail2ban com nftables de acordo com essas instruções , com...
11.09.2017 / 17:44
1
resposta

Migração da regra arp ebtables para nftables

Gostaria de mudar para o nftables (Ubuntu confiável, kernel 3.19). No entanto, pergunto-me como migrar regras ebtables para pacotes ARP: -p ARP --arp-op Request --arp-ip-src 192.168.178.237 --arp-mac-src 2:fb:c5:e0:ef:a3 -j ACCEPT O coma...
05.10.2015 / 13:10
1
resposta

Que mal com snat in nftables?

Eu tenho duas máquinas virtuais (servidor, cliente) com wireguard vpn. Quando tento pingar qualquer recurso IPv6 dos pacotes do cliente não retorna ao cliente. Tcpdump me mostra os pacotes de resposta ICMP na interface enp0s3 (servidor), não...
10.07.2017 / 23:04
1
resposta

regras nftable são invalidadas na reconexão (VDSL, ppp0)

Estou reconstruindo meu roteador usando nftables no debian jessie. Eu tenho uma configuração de trabalho até o momento em que meu ISP decide reatribuir um novo IP WAN, reconectando meu link DSL. Depois de se reconectar, o próprio roteador tem um...
16.10.2016 / 05:24
2
respostas

Soltar pacotes fragmentados em nftables

Usando o iptables é possível bloquear pacotes fragmentados com esta regra: iptables -A INPUT -f -j DROP Mas não há um equivalente em nftables. Existe alguma maneira de fazer isso?     
22.04.2016 / 12:43
1
resposta

Nftables questão com ftp firewall e conntrack

Com as seguintes regras dentro da tabela de entrada nftables: tcp dport 21 ct state established,new counter accept tcp dport 20 ct state established,related counter accept tcp dport 1024-65535 ct state established,related counter accept A...
27.10.2017 / 08:36