Dimensione: 3889
Commento:
|
Dimensione: 4052
Commento:
|
Le cancellazioni sono segnalate in questo modo. | Le aggiunte sono segnalate in questo modo. |
Linea 78: | Linea 78: |
= Persistenza = Per salvare le regole in uso in modo che vengano ricaricate al prossimo avvio digitare: {{{ sudo nft list ruleset > /etc/nftables.conf }}} |
Guida verificata con Ubuntu: 20.04
Problemi in questa pagina? Segnalali in questa discussione
Introduzione
Nftables è un programma per controllare le regole di filtraggio dei pacchetti dal progetto Netfilter. Questo software fornisce un'infrastruttura per classificazione dei pacchetti interna al kernel che è basata su una VM (macchina virtuale) specifica per rete, e lo strumento a riga di comando in spazio utente nft. L'infrastruttura nftables riusa i sottosistemi Netfilter esistenti, come l'infrastruttura esistente per hook, il sistema di tracciamento delle connessioni, NAT, la gestione di code in spazio utente e il sottosistema di registrazione di log. Nftables sostituisce i vecchi popolari iptables, ip6tables, arptables ed ebtables. Il software Netfilter, e nftables in particolare, è utilizzato in applicazioni come condivisione di connessioni Internet, firewall, contabilità per IP, proxy trasparenti, instradamento avanzato e controllo del traffico.
Selezione
Dal rilascio 20.10 Ubuntu utilizza come infrastruttura predefinita nftables al posto del precedenteiptables.
Per selezionare e/o verificare quale infrastruttura firewall è in uso nel nostro sistema operativo digitare nel terminale questi 2 comandi:
sudo update-alternatives --config iptables sudo update-alternatives --config ip6tables
riceveremo una risposta simile a questa:
Sono disponibili 2 scelte per l'alternativa iptables (che fornisce /usr/sbin/iptables). Selezione Percorso Priorità Stato ------------------------------------------------------------ 0 /usr/sbin/iptables-nft 20 modalità automatica * 1 /usr/sbin/iptables-legacy 10 modalità manuale 2 /usr/sbin/iptables-nft 20 modalità manuale Premere Invio per mantenere il valore predefinito[*] o digitare il numero della selezione:
Installazione
Installare il pacchetto nftables.
Abilitare il servizio nftables all'avvio.
Transizione
Per tradurre le regole da iptables a nftables abbiamo 2 modi.
Una alla volta
Digitare nel terminale:
sudo iptables-translate <regola di iptables>
alcuni esempi:
sudo iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
riceveremo la risposta:
nft add rule ip filter INPUT tcp dport 22 ct state new counter accept
altro esempio ma con ipv6:
sudo ip6tables-translate -A FORWARD -i eth0 -o eth3 -p udp -m multiport --dports 111,222 -j ACCEPT
riceveremo la risposta:
nft add rule ip6 filter FORWARD iifname eth0 oifname eth3 meta l4proto udp udp dport { 111,222} counter accept
Tutte insieme
I comandi che seguono vanno tutti digitati nel terminale
Salvare tutte le regole in uso su iptables in un file digitando:
sudo iptables-save > save.txt
Tradurre le regole salvate nel file digitando:
sudo iptables-restore-translate -f save.txt
Oppure tradurre le regole e al tempo stesso salvarle in un file leggibile da nftables digitando:
sudo iptables-restore-translate -f save.txt > ruleset.nft
Caricare su nftables le regole salvate nel file digitando:
sudo nft -f ruleset.nft
Persistenza
Per salvare le regole in uso in modo che vengano ricaricate al prossimo avvio digitare:
sudo nft list ruleset > /etc/nftables.conf