Ero sivun ”NFTables” versioiden välillä

Siirry navigaatioon Siirry hakuun

NFTables (muokkaa)

Versio 4. kesäkuuta 2019 kello 16.53

2 258 merkkiä lisätty ,  4. kesäkuuta 2019
+esimerkki
p (luokitus kuntoon)
(+esimerkki)
 
Rivi 21: Rivi 21:
** Esimerkiksi sääntöjen listauksesta luettavassa JSON-muodossa: <code>nft export json | jq</code>
** Esimerkiksi sääntöjen listauksesta luettavassa JSON-muodossa: <code>nft export json | jq</code>
* Yhdistetty IPv4 ja IPv6 sääntö <code>inet</code>-nimen alle, mutta myös <code>ip</code> ja <code>ip6</code> ovat käytettävissä erikseen
* Yhdistetty IPv4 ja IPv6 sääntö <code>inet</code>-nimen alle, mutta myös <code>ip</code> ja <code>ip6</code> ovat käytettävissä erikseen
== Esimerkki ==
<code>/etc/nftables.conf</code>
<pre>
# Käytetään inet-taulua, joka mätsää ipv4- sekä ipv6-liikenteen
table inet filter {
    chain INPUT {
        # Pudota kaikki paketit vakiona
        type filter hook input priority 0; policy drop;
        # Salli ping (ICMP)
        icmp type echo-request counter packets 0 bytes 0 accept
        icmp type echo-reply counter packets 0 bytes 0 accept
        # Salli DHCP
        udp sport 67-68 udp dport 67-68 counter packets 0 bytes 0 accept
        # Salli DNS
        udp dport 53 counter packets 0 bytes 0 accept
        udp sport 53 counter packets 0 bytes 0 accept
        # Salli LAN <-> LAN -liikenne
        ip saddr 10.0.0.0/8 ip daddr 10.0.0.0/8 counter packets 0 bytes 0 accept
        ip saddr 172.16.0.0/12 ip daddr 172.16.0.0/12 counter packets 0 bytes 0 accept
        ip saddr 192.168.0.0/16 ip daddr 192.168.0.0/16 counter packets 0 bytes 0 accept
        ct state established,related counter packets 0 bytes 0 accept
        # Salli loopback interface 127.0.0.1 lo
        iifname "lo" counter packets 0 bytes 0 accept
    }
    chain OUTPUT {
        # Pudota kaikki paketit vakiona
        type filter hook output priority 0; policy drop;
        # Salli ping
        icmp type echo-request counter packets 0 bytes 0 accept
        icmp type echo-reply counter packets 0 bytes 0 accept
        # Salli DHCP
        udp sport 67-68 udp dport 67-68 counter packets 0 bytes 0 accept
        # Allow DNS
        udp dport 53 counter packets 0 bytes 0 accept
        udp sport 53 counter packets 0 bytes 0 accept
        # Salli LAN <-> LAN
        ip saddr 10.0.0.0/8 ip daddr 10.0.0.0/8 counter packets 0 bytes 0 accept
        ip saddr 172.16.0.0/12 ip daddr 172.16.0.0/12 counter packets 0 bytes 0 accept
        ip saddr 192.168.0.0/16 ip daddr 192.168.0.0/16 counter packets 0 bytes 0 accept
        # Allow loopback interface 127.0.0.1
        oifname "lo" counter packets 0 bytes 0 accept
        ct state new counter packets 0 bytes 0 accept
        ct state related,established counter packets 0 bytes 0 accept
    }
    chain FORWARD {
        # Pudota kaikki paketit vakiona
        type filter hook forward priority 0; policy drop;
    }
}
</pre>


== Muuta ==
== Muuta ==
Raspi
76

muokkausta

Noudettu kohteesta ”https://www.linux.fi/wiki/Toiminnot:MobileDiff/48973

Navigointivalikko