Wiki Ubuntu-it

Indice
Partecipa
FAQ
Wiki Blog
------------------
Ubuntu-it.org
Forum
Chiedi
Chat
Cerca
Planet
  • Pagina non alterabile
  • Informazioni
  • Allegati
  • Differenze per "Sicurezza/Nftables"
Differenze tra le versioni 51 e 52
Versione 51 del 16/02/2022 15.04.25
Dimensione: 5677
Autore: carlin0
Commento:
Versione 52 del 16/02/2022 15.48.21
Dimensione: 6816
Autore: carlin0
Commento:
Le cancellazioni sono segnalate in questo modo. Le aggiunte sono segnalate in questo modo.
Linea 151: Linea 151:

 * Per aggiungere una regola digitare: {{{
nft add rule [<famiglia>] [nome_tabella] [nome_catena] [regola da aggiungere]
}}}Per esempio: {{{
nft add rule ip filter input iifname "lo" accept
nft add rule ip filter input ct state related,established accept
}}}

 * Per aggiungere una regola in una determinata posizione, si deve usare `handle` come riferimento, digitare: {{{
nft list table filter -a
}}}Riceveremo una risposta simile: {{{
table filter {
        chain output {
                 type filter hook output priority 0;
                 ip protocol tcp counter packets 82 bytes 9680 # handle 8
                 ip saddr 127.0.0.1 ip daddr 127.0.0.6 drop # handle 7
        }
}
}}}Per posizionare la nuova regola dopo `handle 8` digitare: {{{
nft add rule filter output position 8 ip daddr 127.0.0.8 drop
}}}

 * Per sostituire una regola digitare: {{{
nft replace rule filter output handle 7 ip daddr 127.0.0.8 drop
}}}

 * Per cancellare una regola digitare: {{{
nft delete rule filter output ip saddr 127.0.0.1 ip daddr 127.0.0.6 drop
}}}Oppure: {{{
nft delete rule filter output handle 7
}}}

Guida non verificata da molto tempo. Può contenere informazioni utili per la versione Ubuntu Pro 20.04 - Clicca qui!

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

Nftables è un programma per controllare le regole di filtraggio dei pacchetti dal progetto Netfilter. Questo software fornisce un'infrastruttura per classificazione dei pacchetti interna al kernel che è basata su una VM (macchina virtuale) specifica per rete, e lo strumento a riga di comando in spazio utente nft. L'infrastruttura nftables riusa i sottosistemi Netfilter esistenti, come l'infrastruttura esistente per hook, il sistema di tracciamento delle connessioni, NAT, la gestione di code in spazio utente e il sottosistema di registrazione di log. Nftables sostituisce i vecchi popolari iptables, ip6tables, arptables ed ebtables. Il software Netfilter, e nftables in particolare, è utilizzato in applicazioni come condivisione di connessioni Internet, firewall, contabilità per IP, proxy trasparenti, instradamento avanzato e controllo del traffico.


Tutti i comandi citati in questa pagina vanno digitati nel terminale con i privilegi di amministrazione .

Selezione

Dal rilascio 20.10 Ubuntu utilizza come infrastruttura predefinita nftables al posto del precedente iptables.

  • Per selezionare e/o verificare quale infrastruttura firewall è in uso nel nostro sistema operativo digitare questi 2 comandi: 

    update-alternatives --config iptables
update-alternatives --config ip6tables

    riceveremo una risposta simile a questa: 

    Sono disponibili 2 scelte per l'alternativa iptables (che fornisce /usr/sbin/iptables).

  Selezione    Percorso                   Priorità  Stato
------------------------------------------------------------
  0            /usr/sbin/iptables-nft      20        modalità automatica
* 1            /usr/sbin/iptables-legacy   10        modalità manuale
  2            /usr/sbin/iptables-nft      20        modalità manuale

Premere Invio per mantenere il valore predefinito[*] o digitare il numero della selezione:

    Scegliere tra nft e iptables-legacy.

Installazione

  1. Installare il pacchetto nftables.

  2. Abilitare il servizio nftables all'avvio.

Migrazione

Per importare le regole da iptables a nftables ci sono 2 possibilità:

Regola singola

  • Digitare: 

    iptables-translate <regola di iptables>

    per esempio: 

    iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

    riceveremo la risposta: 

    nft add rule ip filter INPUT tcp dport 22 ct state new counter accept

    altro esempio ma con ipv6: 

    ip6tables-translate -A FORWARD -i eth0 -o eth3 -p udp -m multiport --dports 111,222 -j ACCEPT

    riceveremo la risposta: 

    nft add rule ip6 filter FORWARD iifname eth0 oifname eth3 meta l4proto udp udp dport { 111,222} counter accept

Set di regole

  1. Salvare tutte le regole in uso su iptables in un file digitando: 

    iptables-save > save.txt

  2. Importare le regole salvate nel file digitando: 

    iptables-restore-translate -f save.txt

    Oppure importare le regole e al tempo stesso salvarle in un file leggibile da nftables digitando: 

    iptables-restore-translate -f save.txt > ruleset.nft

  3. Caricare su nftables le regole salvate nel file digitando: 

    nft -f ruleset.nft

Comandi principali

Generici

  • Per caricare le regole da un file digitare: 

    nft -f <file>

  • Per salvare le regole in uso in modo che vengano ricaricate al prossimo avvio digitare: 

    nft list ruleset > /etc/nftables.conf

  • Per elencare le regole in uso digitare: 

    nft list ruleset

  • Per elencare le regole in uso e vedere anche il numero di riga della regola digitare: 

    nft -a list ruleset

  • Per cancellare tutte le regole in uso digitare: 

    nft flush ruleset

Tabelle

  • Per creare una tabella digitare: 

    nft add table ip filter

  • Per elencare le tabelle digitare: 

    nft list tables

  • Per cancellare una tabella digitare: 

    nft delete table ip filter

    In caso di errore nella cancellazione della tabella svuotarla dalle regole contenute

  • Per svuotare la tabella dalle regole in essa contenute digitare: 

    nft flush table ip filter

Catene

  • Per aggiungere una catena digitare: 

    nft add chain [<famiglia>] <nome_tabella> <nome_catena> { type <tipo> hook <hook> priority <valore> \; [policy <policy> \;] }

    Per esempio: 

    nft add chain ip filter input { type filter hook input priority 0; policy drop; }
nft add chain ip filter forward { type filter hook forward priority 0; policy drop; }

  • Per cancellare una catena digitare: 

    nft delete chain [famiglia] <nome_tabella> <nome_catena>

    Per esempio: 

    nft delete chain ip filter input

    In caso di errore nella cancellazione della catena svuotarla prima dei contenuti

  • Per svuotare la catena dai suoi contenuti digitare: 

    nft flush chain ip filter input

Regole

  • Per aggiungere una regola digitare: 

    nft add rule [<famiglia>] [nome_tabella] [nome_catena] [regola da aggiungere]

    Per esempio: 

    nft add rule ip filter input iifname "lo"  accept
nft add rule ip filter input ct state related,established   accept

  • Per aggiungere una regola in una determinata posizione, si deve usare handle come riferimento, digitare: 

    nft list table filter -a

    Riceveremo una risposta simile: 

    table filter {
        chain output {
                 type filter hook output priority 0;
                 ip protocol tcp counter packets 82 bytes 9680 # handle 8
                 ip saddr 127.0.0.1 ip daddr 127.0.0.6 drop # handle 7
        }
}

    Per posizionare la nuova regola dopo handle 8 digitare: 

    nft add rule filter output position 8 ip daddr 127.0.0.8 drop

  • Per sostituire una regola digitare: 

    nft replace rule filter output handle 7 ip daddr 127.0.0.8 drop

  • Per cancellare una regola digitare: 

    nft delete rule filter output ip saddr 127.0.0.1 ip daddr 127.0.0.6 drop

    Oppure: 

    nft delete rule filter output handle 7