Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/Nftables"
Differenze tra le versioni 31 e 68 (in 37 versioni)
Versione 31 del 30/01/2022 23.43.12
Dimensione: 7577
Autore: carlin0
Commento:
Versione 68 del 28/07/2024 15.59.37
Dimensione: 8050
Autore: carlin0
Commento: Verificata per 24.04
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 1: Linea 1:
## https://wiki.ubuntu-it.org/AmministrazioneSistema/PulireUbuntu
## page was renamed from PulireUbuntu 		## page was renamed from Carlin0/Prove9
## Pagina creata da Carlin0
Linea 4: Linea 4:
#LANGUAGE it
<<BR>>
<<Indice>>
<<Informazioni(rilasci="20.04"; forum="http://forum.ubuntu-it.org/viewtopic.php?t=482478")>> 		#language it
<<Indice(depth=2 align=right)>>
<<Informazioni(forum="https://forum.ubuntu-it.org/viewtopic.php?f=46&t=648710"; rilasci="24.04 22.04 20.04";)>>
Linea 11: Linea 10:
La presente guida vuole essere un'introduzione alle principali operazioni di manutenzione e pulizia del sistema. '''nftables''' è un programma per controllare le regole di filtraggio dei pacchetti dal progetto [[https://it.wikipedia.org/wiki/Netfilter|Netfilter]]. Questo software fornisce un'infrastruttura per classificazione dei pacchetti interna al [[https://it.wikipedia.org/wiki/Kernel|kernel]] che è basata su una VM (macchina virtuale) specifica per rete, e lo strumento a riga di comando in spazio utente nft.<<BR>>
L'infrastruttura '''nftables''' riusa i sottosistemi '''netfilter''' esistenti, come l'infrastruttura esistente per hook, il sistema di tracciamento delle connessioni, [[https://it.wikipedia.org/wiki/Network_address_translation|NAT]], la gestione di code in spazio utente e il sottosistema di registrazione di log.
Linea 13: Linea 13:
= Disattivare servizi inutilizzati = '''nftables''' sostituisce i vecchi popolari [[Sicurezza/Iptables|iptables]], ip6tables, arptables ed ebtables ed è utilizzato in applicazioni come condivisione di connessioni internet, firewall, contabilità per IP, proxy trasparenti, instradamento avanzato e controllo del traffico.
Linea 15: Linea 15:
Quelli che seguono sono i servizi che possono essere disattivati senza alcun rischio, ammesso che non siano correlati a qualche esigenza particolare: {{{#!wiki note
Dal rilascio '''20.10''' Ubuntu utilizza come infrastruttura predefinita '''nftables''' al posto del precedente '''iptables'''.
}}}
Linea 17: Linea 19:
||<tablestyle="width:80%" rowstyle="background-color: #cccccc;" :>'''Servizio''' ||<:> '''Azione''' ||
||<#f7f7f7> '''acpid''' || gestione energetica intelligente ||
||<#f7f7f7> '''acpid support''' || risparmio energetico sui notebook ||
||<#f7f7f7> '''apache2''' || server web apache2 ||
||<#f7f7f7> '''apmd''' || indicatore di stato delle batterie per vecchi computer portatili ||
||<#f7f7f7> '''bluetooth''' || gestione bluetooth ||
||<#f7f7f7> '''cups''' || server di stampa ||
||<#f7f7f7> '''powernowd''' || controllo del voltaggio e della velocità della CPU ||
||<#f7f7f7> '''saned''' || demone per la gestione dello scanner ||
||<#f7f7f7> '''ssh''' || server ssh per accedere da remoto al vostro PC ||
 In '''nftables''', non ci sono tabelle/catene predefinite, ad esempio se intendiamo impostare la catena `output`, con policy `accept` può essere omessa.
Linea 30: Linea 22:
Altri servizi presenti nell'elenco potrebbero essere necessari al corretto funzionamento del sistema, pertanto è sconsigliato disattivarli.}}}

Per la gestione dei servizi fare riferimento alla [[AmministrazioneSistema/Systemd|relativa guida]].

= Pulizia delle configurazioni inutilizzate =

== Configurazioni nel sistema ==

 0. Per eliminare i file di configurazione di un determinato pacchetto digitare nel [[AmministrazioneSistema/Terminale|terminale]]: {{{
sudo apt purge <nome_pacchetto>		 Tutti i comandi citati in questa pagina vanno digitati nel [[AmministrazioneSistema/Terminale|terminale]] con i [[AmministrazioneSistema/PrivilegiDiAmministrazione/Sudo|privilegi di amministrazione]] .
Linea 42: Linea 25:
 0. Per trovare eventuali file di configurazione relativi a programmi disinstallati digitare nel [[AmministrazioneSistema/Terminale|terminale]]: {{{
dpkg -l | egrep "^rc" | cut -d ' ' -f3
}}}Per eliminare i file di configurazione trovati digitare nel [[AmministrazioneSistema/Terminale|terminale]]: {{{
sudo dpkg --purge `dpkg -l | egrep "^rc" | cut -d ' ' -f3`		 = Selezione =

 0. Per selezionare e/o verificare quale infrastruttura firewall è in uso nel nostro sistema operativo, digitare questi due comandi: {{{
update-alternatives --config iptables
update-alternatives --config ip6tables
}}}riceveremo una risposta simile a questa: {{{
Sono disponibili 2 scelte per l'alternativa iptables (che fornisce /usr/sbin/iptables).

  Selezione Percorso Priorità Stato
------------------------------------------------------------
  0 /usr/sbin/iptables-nft 20 modalità automatica
* 1 /usr/sbin/iptables-legacy 10 modalità manuale
  2 /usr/sbin/iptables-nft 20 modalità manuale

Premere Invio per mantenere il valore predefinito[*] o digitare il numero della selezione:
Linea 47: Linea 41:
{{{#!wiki note
Prima di '''dpkg''' ed alla fine del comando sono stati posti degli accenti gravi, differenti dalle virgolette semplici, che si possono facilmente ottenere con la combinazione '''Alt ``Gr + ' '''.}}}		  0. Scegliere tra `nft` e `iptables-legacy`.
Linea 50: Linea 43:
== Configurazioni nella Home == = Installazione =
Linea 52: Linea 45:
 0. Per visualizzare le cartelle di configurazione presenti nella propria '''Home''' digitare nel [[AmministrazioneSistema/Terminale|terminale]]: {{{
ls -a ~/
}}}Controllare anche nelle sottocartelle `.config` e `.local` digitando: {{{
ls -a ~/.config
ls -a ~/.local
ls -a ~/.local/share		  0. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt:/nftables|nftables]].
 0. [[https://wiki.ubuntu-it.org/AmministrazioneSistema/Systemd#Abilita_.2F_Disabilita|Abilitare]] il servizio `nftables` all'avvio.

= Migrazione =

Per importare le regole da '''iptables''' a '''nftables''' vengono mostrate due possibilità.

== Regola singola ==

Occorre digitare un comando del tipo: {{{
iptables-translate <regola di iptables>
Linea 59: Linea 57:
 0. Per eliminare le cartelle dei programmi di cui si ha la certezza che siano stati rimossi digitare: {{{
rm -r ~/.<nome_cartella>
}}}Nel caso fossero annidiate in una sottocartella digitare a seconda dei casi: {{{
rm -r ~/.config/<nome_cartella>
rm -r ~/.local/<nome_cartella>
rm -r ~/.local/share/<nome_cartella>
}}}Sostituire '''nome_cartella''' al nome della cartella che si vuole eliminare.

{{{#!wiki note
Per riprodurre il carattere '''~''' (tilde) premere contemporaneamente i tasti '''Alt Gr + ì'''}}}

= Pulizia della cache =

== Cache di apt ==

Consultare la [[AmministrazioneSistema/InstallareProgrammi/Apt#Pulizia_della_cache|relativa guida]].

== Cache della Home ==

Consultare la [[AmministrazioneSistema/BleachBit|guida di BleachBit]]

= Pulizia delle librerie orfane =

Con l'espressione ''libreria orfana'' si vuole indicare una libreria precedentemente installata perchè necessaria al corretto funzionamento di una o più applicazioni, diventata inutile successivamente alla disinstallazione di tutti i programmi che ne facevano uso. Occorre tuttavia tenere conto che se sono stati [[https://wiki.ubuntu-it.org/AmministrazioneSistema/InstallareProgrammi|installati programmi]] da [[https://wiki.ubuntu-it.org/AmministrazioneSistema/InstallareProgrammi/DaSorgenti|sorgenti]] potremmo privarli di librerie a loro utili.

{{{#!wiki important
L'uso del programma è consigliato solo ad utenti esperti.		  * Esempio: {{{
iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
}}}riceveremo la risposta: {{{
nft add rule ip filter INPUT tcp dport 22 ct state new counter accept
}}}
 * Esempio con ipv6: {{{
ip6tables-translate -A FORWARD -i eth0 -o eth3 -p udp -m multiport --dports 111,222 -j ACCEPT
}}}riceveremo la risposta: {{{
nft add rule ip6 filter FORWARD iifname eth0 oifname eth3 meta l4proto udp udp dport { 111,222} counter accept
Linea 88: Linea 68:
 0. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://deborphan|deborphan]]. == Set di regole ==
Linea 90: Linea 70:
 0. Per cercare librerie orfane digitare nel [[AmministrazioneSistema/Terminale|terminale]]: {{{
deborphan}}}Riceveremo una risposta simile a questa: {{{
libcupsimage2
libnftables1
python-is-python2}}}

 0. Per cercare librerie di sviluppo che avevamo installato per compilare ma non servono più digitare nel [[AmministrazioneSistema/Terminale|terminale]]: {{{
deborphan --guess-dev}}}

 0. Per eliminare le librerie orfane trovate digitare nel [[AmministrazioneSistema/Terminale|terminale]]: {{{
deborphan | sudo xargs apt -y purge		  0. Salvare tutte le regole in uso su '''iptables''' in un file digitando: {{{
iptables-save > save.txt
Linea 103: Linea 74:
 0. Per un elenco completo delle opzioni disponibili consultare il man di [[http://manpages.ubuntu.com/manpages/focal/man1/deborphan.1.html|deborphan]]

= Pacchetti di lingua =

L'installazione di un pacchetto sul sistema comporta anche l'installazione dei pacchetti di localizzazione e delle relative pagine '''man''' delle altre lingue diverse da quella corrente. È possibile eliminare tali file inutili con il programma [[apt://localepurge | localepurge]].

== Installazione di localepurge ==

[[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt://localepurge | localepurge]].

{{{#!wiki important
Il programma non si integra con la gestione dei pacchetti di Ubuntu. Un uso poco cauto potrebbe causare dei danni al sistema.}}}

== Configurazione ==

Durante la configurazione dell'applicazione bisogna selezionare le lingue che si vogliono mantenere sul sistema, le altre verranno eliminate.

Si consiglia di mantenere sul sistema l'inglese (che è la lingua predefinita) e l'italiano, selezionando le seguenti sigle:

 * '''C''' (predefinita, non in elenco)
 * '''en'''
 * '''en_US'''
 * '''en_US.UTF-8'''
 * '''en_US.ISO-8859-15'''
 * '''it'''
 * '''it_IT'''
 * '''it_IT@euro'''
 * '''it_IT.UTF-8'''

Verranno chieste anche altre informazioni, tra di esse la più importante riguarda l'eliminazione delle pagine di manuale. Per eliminare le pagine '''man''' in lingue diverse dalle due selezionate è sufficiente premere '''Yes'''. Tutte le configurazioni verranno salvate nel file `/etc/locale.nopurge`.

Per riconfigurare tutte le impostazioni del programma digitare nel [[AmministrazioneSistema/Terminale|terminale]]: {{{
sudo dpkg-reconfigure localepurge		  0. Per importare il set di regole sono possibili due alternative:
  * '''Importare''' le regole salvate nel file digitando: {{{
iptables-restore-translate -f save.txt
}}}Il terminale darà come risposta tutte le regole contenute nel file adattandole alla sintassi di nftables.
  * '''Importare''' le regole e al tempo stesso salvarle in un '''file leggibile''' da nftables digitando: {{{
iptables-restore-translate -f save.txt > ruleset.nft
Linea 138: Linea 82:
== Avvio del programma == = Comandi principali =
Linea 140: Linea 84:
Una volta salvata la configurazione è possibile lanciare il programma. Aprire una finestra di [[AmministrazioneSistema/Terminale|terminale]] e digitare il seguente comando:
{{{
sudo localepurge		 == Generici ==

 * Per '''caricare''' le regole da un file digitare: {{{
nft -f <file>
}}}
 * Per '''salvare''' le regole in uso in modo che vengano ricaricate al prossimo avvio digitare: {{{
nft list ruleset > /etc/nftables.conf
}}}
 * Per '''elencare''' le regole in uso digitare: {{{
nft list ruleset
}}}
 * Per '''elencare''' le regole in uso e '''visualizzare''' anche gli ''handle'', ovvero i riferimenti univoci di ogni riga digitare: {{{
nft -a list ruleset
}}}
 * Per '''cancellare''' tutte le regole in uso digitare: {{{
nft flush ruleset
Linea 145: Linea 102:
Verrà avviata l'analisi, dunque l'eliminazione dei file inutilizzati, infine verrà comunicata la dimensione dello spazio liberato. == Tabelle ==
Linea 147: Linea 104:
{{{#!wiki note
L'efficacia del programma è direttamente proporzionale alla quantità di pacchetti installati: su un sistema abbastanza pulito l'esecuzione del comando comporterà la liberazione di alcune decine di MiB dal disco fisso. Se si possiedono molti programmi installati sul sistema, è probabile che lo spazio liberato raggiunga una dimensione prossima a 100 MiB.}}}		  * Per '''creare''' una tabella digitare: {{{
nft add table ip filter
}}}
 * Per '''elencare''' le tabelle digitare: {{{
nft list tables
}}}
 * Per '''cancellare''' una tabella digitare: {{{
nft delete table ip filter
}}}

 {{{#!wiki note
In caso di errore nella cancellazione della tabella, svuotarla dalle regole contenute.
 }}}

 * Per '''svuotare''' la tabella dalle regole in essa contenute digitare: {{{
nft flush table ip filter
}}}

== Catene ==

 * Per '''aggiungere''' una catena digitare: {{{
nft add chain [<famiglia>] <nome_tabella> <nome_catena> { type <tipo> hook <hook> priority <valore> \; [policy <policy> \;] }
}}}Ad esempio: {{{
nft add chain ip filter input { type filter hook input priority 0; policy drop; }
nft add chain ip filter forward { type filter hook forward priority 0; policy drop; }
}}}

 * Per '''cancellare''' una catena digitare: {{{
nft delete chain [famiglia] <nome_tabella> <nome_catena>
}}}Ad esempio: {{{
nft delete chain ip filter input
}}}

 {{{#!wiki note
In caso di errore nella cancellazione della catena svuotarla prima dei contenuti
 }}}

 * Per '''svuotare''' la catena dai suoi contenuti digitare: {{{
nft flush chain ip filter input
}}}

== Regole ==

 * Per '''aggiungere''' una regola digitare: {{{
nft add rule [<famiglia>] [nome_tabella] [nome_catena] [regola da aggiungere]
}}}Ad esempio: {{{
nft add rule ip filter input iifname "lo" accept
nft add rule ip filter input ct state related,established accept
}}}

 * Per '''inserire''' una regola '''all'inizio''' della catena digitare: {{{
nft insert rule ip filter input iifname "lo" accept
}}}

 * Per '''aggiungere''' una regola in una '''determinata posizione''', si deve usare `handle` come riferimento, digitare: {{{
nft list table filter -a
}}}Riceveremo una risposta simile: {{{
table filter {
        chain output {
                 type filter hook output priority 0;
                 ip protocol tcp counter packets 82 bytes 9680 # handle 8
                 ip saddr 127.0.0.1 ip daddr 127.0.0.6 drop # handle 7
        }
}
}}}Per '''posizionare''' la nuova regola '''dopo''' `handle 8` digitare: {{{
nft add rule filter output position 8 ip daddr 127.0.0.8 drop
}}}

 * Per '''sostituire''' una regola digitare: {{{
nft replace rule filter output handle 7 ip daddr 127.0.0.8 drop
}}}

 * Per '''cancellare''' una regola digitare: {{{
nft delete rule filter output ip saddr 127.0.0.1 ip daddr 127.0.0.6 drop
}}}Oppure: {{{
nft delete rule filter output handle 7
}}}

= Esempi di configurazione =

Sono disponibili alcuni esempi di configurazioni in `/usr/share/doc/nftables/examples/`, e altri esempi nei link a fondo pagina.
Linea 152: Linea 188:
 * [[http://guide.debianizzati.org/index.php/Pulire_Debian|Guida alla pulizia di Debian]]  * [[https://netfilter.org/projects/nftables|Sito del progetto]]
 * [[https://wiki.nftables.org|Wiki di nftables]]
 * [[https://www.netfilter.org/projects/nftables/manpage.html|Pagina man di nft]]
 * [[https://wiki.archlinux.org/title/Nftables|Wiki Archlinux]]
 * [[https://wiki.gentoo.org/wiki/Nftables|Wiki Gentoo]]
 * [[https://guide.debianizzati.org/index.php/Nftables|Guida debianizzati]]
Linea 154: Linea 195:
CategoryAmministrazione CategorySicurezza

Guida verificata con Ubuntu: 20.04 22.04 24.04

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

nftables è un programma per controllare le regole di filtraggio dei pacchetti dal progetto Netfilter. Questo software fornisce un'infrastruttura per classificazione dei pacchetti interna al kernel che è basata su una VM (macchina virtuale) specifica per rete, e lo strumento a riga di comando in spazio utente nft.
L'infrastruttura nftables riusa i sottosistemi netfilter esistenti, come l'infrastruttura esistente per hook, il sistema di tracciamento delle connessioni, NAT, la gestione di code in spazio utente e il sottosistema di registrazione di log.

nftables sostituisce i vecchi popolari iptables, ip6tables, arptables ed ebtables ed è utilizzato in applicazioni come condivisione di connessioni internet, firewall, contabilità per IP, proxy trasparenti, instradamento avanzato e controllo del traffico.

Dal rilascio 20.10 Ubuntu utilizza come infrastruttura predefinita nftables al posto del precedente iptables.

In nftables, non ci sono tabelle/catene predefinite, ad esempio se intendiamo impostare la catena output, con policy accept può essere omessa.

Tutti i comandi citati in questa pagina vanno digitati nel terminale con i privilegi di amministrazione .

Selezione

  1. Per selezionare e/o verificare quale infrastruttura firewall è in uso nel nostro sistema operativo, digitare questi due comandi: 

    update-alternatives --config iptables
update-alternatives --config ip6tables

    riceveremo una risposta simile a questa: 

    Sono disponibili 2 scelte per l'alternativa iptables (che fornisce /usr/sbin/iptables).

  Selezione    Percorso                   Priorità  Stato
------------------------------------------------------------
  0            /usr/sbin/iptables-nft      20        modalità automatica
* 1            /usr/sbin/iptables-legacy   10        modalità manuale
  2            /usr/sbin/iptables-nft      20        modalità manuale

Premere Invio per mantenere il valore predefinito[*] o digitare il numero della selezione:

  2. Scegliere tra nft e iptables-legacy.

Installazione

  1. Installare il pacchetto nftables.

  2. Abilitare il servizio nftables all'avvio.

Migrazione

Per importare le regole da iptables a nftables vengono mostrate due possibilità.

Regola singola

Occorre digitare un comando del tipo: 

iptables-translate <regola di iptables>

  • Esempio: 

    iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

    riceveremo la risposta: 

    nft add rule ip filter INPUT tcp dport 22 ct state new counter accept

  • Esempio con ipv6: 

    ip6tables-translate -A FORWARD -i eth0 -o eth3 -p udp -m multiport --dports 111,222 -j ACCEPT

    riceveremo la risposta: 

    nft add rule ip6 filter FORWARD iifname eth0 oifname eth3 meta l4proto udp udp dport { 111,222} counter accept

Set di regole

  1. Salvare tutte le regole in uso su iptables in un file digitando: 

    iptables-save > save.txt
  2. Per importare il set di regole sono possibili due alternative:

    • Importare le regole salvate nel file digitando: 

      iptables-restore-translate -f save.txt
      Il terminale darà come risposta tutte le regole contenute nel file adattandole alla sintassi di nftables.

    • Importare le regole e al tempo stesso salvarle in un file leggibile da nftables digitando: 

      iptables-restore-translate -f save.txt > ruleset.nft

Comandi principali

Generici

  • Per caricare le regole da un file digitare: 

    nft -f <file>

  • Per salvare le regole in uso in modo che vengano ricaricate al prossimo avvio digitare: 

    nft list ruleset > /etc/nftables.conf

  • Per elencare le regole in uso digitare: 

    nft list ruleset

  • Per elencare le regole in uso e visualizzare anche gli handle, ovvero i riferimenti univoci di ogni riga digitare: 

    nft -a list ruleset

  • Per cancellare tutte le regole in uso digitare: 

    nft flush ruleset

Tabelle

  • Per creare una tabella digitare: 

    nft add table ip filter

  • Per elencare le tabelle digitare: 

    nft list tables

  • Per cancellare una tabella digitare: 

    nft delete table ip filter

    In caso di errore nella cancellazione della tabella, svuotarla dalle regole contenute.

  • Per svuotare la tabella dalle regole in essa contenute digitare: 

    nft flush table ip filter

Catene

  • Per aggiungere una catena digitare: 

    nft add chain [<famiglia>] <nome_tabella> <nome_catena> { type <tipo> hook <hook> priority <valore> \; [policy <policy> \;] }

    Ad esempio: 

    nft add chain ip filter input { type filter hook input priority 0; policy drop; }
nft add chain ip filter forward { type filter hook forward priority 0; policy drop; }

  • Per cancellare una catena digitare: 

    nft delete chain [famiglia] <nome_tabella> <nome_catena>

    Ad esempio: 

    nft delete chain ip filter input

    In caso di errore nella cancellazione della catena svuotarla prima dei contenuti

  • Per svuotare la catena dai suoi contenuti digitare: 

    nft flush chain ip filter input

Regole

  • Per aggiungere una regola digitare: 

    nft add rule [<famiglia>] [nome_tabella] [nome_catena] [regola da aggiungere]

    Ad esempio: 

    nft add rule ip filter input iifname "lo"  accept
nft add rule ip filter input ct state related,established   accept

  • Per inserire una regola all'inizio della catena digitare: 

    nft insert rule ip filter input iifname "lo"  accept

  • Per aggiungere una regola in una determinata posizione, si deve usare handle come riferimento, digitare: 

    nft list table filter -a

    Riceveremo una risposta simile: 

    table filter {
        chain output {
                 type filter hook output priority 0;
                 ip protocol tcp counter packets 82 bytes 9680 # handle 8
                 ip saddr 127.0.0.1 ip daddr 127.0.0.6 drop # handle 7
        }
}

    Per posizionare la nuova regola dopo handle 8 digitare: 

    nft add rule filter output position 8 ip daddr 127.0.0.8 drop

  • Per sostituire una regola digitare: 

    nft replace rule filter output handle 7 ip daddr 127.0.0.8 drop

  • Per cancellare una regola digitare: 

    nft delete rule filter output ip saddr 127.0.0.1 ip daddr 127.0.0.6 drop

    Oppure: 

    nft delete rule filter output handle 7

Esempi di configurazione

Sono disponibili alcuni esempi di configurazioni in /usr/share/doc/nftables/examples/, e altri esempi nei link a fondo pagina.

Ulteriori risorse

CategorySicurezza