Guida verificata con Ubuntu: 20.04 22.04 24.04

Problemi in questa pagina? Segnalali in questa discussione

Introduzione

nftables è un programma per controllare le regole di filtraggio dei pacchetti dal progetto Netfilter. Questo software fornisce un'infrastruttura per classificazione dei pacchetti interna al kernel che è basata su una VM (macchina virtuale) specifica per rete, e lo strumento a riga di comando in spazio utente nft.
L'infrastruttura nftables riusa i sottosistemi netfilter esistenti, come l'infrastruttura esistente per hook, il sistema di tracciamento delle connessioni, NAT, la gestione di code in spazio utente e il sottosistema di registrazione di log.

nftables sostituisce i vecchi popolari iptables, ip6tables, arptables ed ebtables ed è utilizzato in applicazioni come condivisione di connessioni internet, firewall, contabilità per IP, proxy trasparenti, instradamento avanzato e controllo del traffico.

Dal rilascio 20.10 Ubuntu utilizza come infrastruttura predefinita nftables al posto del precedente iptables.

In nftables, non ci sono tabelle/catene predefinite, ad esempio se intendiamo impostare la catena output, con policy accept può essere omessa.

Tutti i comandi citati in questa pagina vanno digitati nel terminale con i privilegi di amministrazione .

Selezione

  1. Per selezionare e/o verificare quale infrastruttura firewall è in uso nel nostro sistema operativo, digitare questi due comandi:

    update-alternatives --config iptables
    update-alternatives --config ip6tables

    riceveremo una risposta simile a questa:

    Sono disponibili 2 scelte per l'alternativa iptables (che fornisce /usr/sbin/iptables).
    
      Selezione    Percorso                   Priorità  Stato
    ------------------------------------------------------------
      0            /usr/sbin/iptables-nft      20        modalità automatica
    * 1            /usr/sbin/iptables-legacy   10        modalità manuale
      2            /usr/sbin/iptables-nft      20        modalità manuale
    
    Premere Invio per mantenere il valore predefinito[*] o digitare il numero della selezione: 
  2. Scegliere tra nft e iptables-legacy.

Installazione

  1. Installare il pacchetto nftables.

  2. Abilitare il servizio nftables all'avvio.

Migrazione

Per importare le regole da iptables a nftables vengono mostrate due possibilità.

Regola singola

Occorre digitare un comando del tipo:

iptables-translate <regola di iptables>

Set di regole

  1. Salvare tutte le regole in uso su iptables in un file digitando:

    iptables-save > save.txt
  2. Per importare il set di regole sono possibili due alternative:
    • Importare le regole salvate nel file digitando:

      iptables-restore-translate -f save.txt
      Il terminale darà come risposta tutte le regole contenute nel file adattandole alla sintassi di nftables.
    • Importare le regole e al tempo stesso salvarle in un file leggibile da nftables digitando:

      iptables-restore-translate -f save.txt > ruleset.nft

Comandi principali

Generici

Tabelle

Catene

Regole

Esempi di configurazione

Sono disponibili alcuni esempi di configurazioni in /usr/share/doc/nftables/examples/, e altri esempi nei link a fondo pagina.

Ulteriori risorse


CategorySicurezza

Sicurezza/Nftables (l'ultima modifica è del 28/07/2024 15.59.37, fatta da carlin0)