Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/Nftables"
Differenze tra le versioni 39 e 40
Versione 39 del 15/02/2022 16.47.49
Dimensione: 3889
Autore: carlin0
Commento:
Versione 40 del 15/02/2022 17.20.58
Dimensione: 4052
Autore: carlin0
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 78: Linea 78:

= Persistenza =

Per salvare le regole in uso in modo che vengano ricaricate al prossimo avvio digitare: {{{
sudo nft list ruleset > /etc/nftables.conf
}}}

Guida verificata con Ubuntu: 20.04

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

Nftables è un programma per controllare le regole di filtraggio dei pacchetti dal progetto Netfilter. Questo software fornisce un'infrastruttura per classificazione dei pacchetti interna al kernel che è basata su una VM (macchina virtuale) specifica per rete, e lo strumento a riga di comando in spazio utente nft. L'infrastruttura nftables riusa i sottosistemi Netfilter esistenti, come l'infrastruttura esistente per hook, il sistema di tracciamento delle connessioni, NAT, la gestione di code in spazio utente e il sottosistema di registrazione di log. Nftables sostituisce i vecchi popolari iptables, ip6tables, arptables ed ebtables. Il software Netfilter, e nftables in particolare, è utilizzato in applicazioni come condivisione di connessioni Internet, firewall, contabilità per IP, proxy trasparenti, instradamento avanzato e controllo del traffico.

Selezione

Dal rilascio 20.10 Ubuntu utilizza come infrastruttura predefinita nftables al posto del precedenteiptables.

  • Per selezionare e/o verificare quale infrastruttura firewall è in uso nel nostro sistema operativo digitare nel terminale questi 2 comandi:

    sudo update-alternatives --config iptables
    sudo update-alternatives --config ip6tables

    riceveremo una risposta simile a questa:

    Sono disponibili 2 scelte per l'alternativa iptables (che fornisce /usr/sbin/iptables).
    
      Selezione    Percorso                   Priorità  Stato
    ------------------------------------------------------------
      0            /usr/sbin/iptables-nft      20        modalità automatica
    * 1            /usr/sbin/iptables-legacy   10        modalità manuale
      2            /usr/sbin/iptables-nft      20        modalità manuale
    
    Premere Invio per mantenere il valore predefinito[*] o digitare il numero della selezione: 

Installazione

  1. Installare il pacchetto nftables.

  2. Abilitare il servizio nftables all'avvio.

Transizione

Per tradurre le regole da iptables a nftables abbiamo 2 modi.

Una alla volta

  • Digitare nel terminale:

    sudo iptables-translate <regola di iptables>

    alcuni esempi:

    sudo iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

    riceveremo la risposta:

    nft add rule ip filter INPUT tcp dport 22 ct state new counter accept

    altro esempio ma con ipv6:

    sudo ip6tables-translate -A FORWARD -i eth0 -o eth3 -p udp -m multiport --dports 111,222 -j ACCEPT

    riceveremo la risposta:

    nft add rule ip6 filter FORWARD iifname eth0 oifname eth3 meta l4proto udp udp dport { 111,222} counter accept

Tutte insieme

I comandi che seguono vanno tutti digitati nel terminale

  1. Salvare tutte le regole in uso su iptables in un file digitando:

    sudo iptables-save > save.txt
  2. Tradurre le regole salvate nel file digitando:

    sudo iptables-restore-translate -f save.txt

    Oppure tradurre le regole e al tempo stesso salvarle in un file leggibile da nftables digitando:

    sudo iptables-restore-translate -f save.txt > ruleset.nft
  3. Caricare su nftables le regole salvate nel file digitando:

    sudo nft -f ruleset.nft

Persistenza

Per salvare le regole in uso in modo che vengano ricaricate al prossimo avvio digitare:

sudo nft list ruleset > /etc/nftables.conf