• Startseite
• Microsoft
  • Windows 11
  • Windows 10
  • Windows 8 / 8.1
  • Windows 7
  • Vista
  • WinXP
  • Windows Server
  • Aktive-Directory
  • Exchange Server
  • Microsoft 365
  • Windows Hyper-V
  • FAQs
  • FAQs - Windows Updates
  • FAQs - LAN
  • Windows IPv6
  • Edge / Internet-Explorer
  • WinPE
  • Kommandozeile
  • PowerShell
  • Scripte
  • Windows Subsystem for Linux
  • Windows Tasten und Verzeichnisse
  • Registry
  • Windows 9x
• Linux
  • Linux_Befehle
  • Programme_einrichten
  • Linux_System
  • Firewall
  • Shell_Scripte
  • FAQs
  • Debian
  • ubuntu
  • ArchLinux
  • OpenSUSE
  • RedHat/Feudora
  • Solus
• andere Betriebssysteme
  • Übersicht
  • NAS / ISCSI
  • Firewall
  • Security
  • Solaris
  • Novell
  • Mac OSX
  • Übersicht
  • BSD FAQs
  • OpenBSD
  • FreeBSD
• Software
  • diverse Software
  • Tobit DvISE
  • Virtualisierung
  • Emulatoren
  • SQL-Server
  • CMS
  • Groupware
  • DMS
  • Cloud-Dienste
  • VoIP
• Hardware
  • diverse Hardware
  • Router / WLAN
  • NAS
  • Mobile Device
  • UEFI
• TCP/IP
  • TCP/IP
  • Subnetting
  • IPv6
  • VoIP
  • Shell Verbindungen
  • VLAN einrichten
• Security Tipps
• Kabelbelegung
  • Ethernet
  • Telefon
  • serielle / V24
  • Mouse / Tastatur
  • paralell
  • SATA
  • SCSI
  • Power
  • USB
  • FireWire
  • Modem / Nullmodem
  • Monitor
  • Kabellängen
• DNS Suffix
• Begriffserläuterung
• sonstiges
  • sonstiges
  • Suchmaschinen
  • ADSL-Tips
  • Suche

Linux Firewall

---

Navigation
Firewall Grundlagen
Befehle / Syntax
sonstiges

Links
Netfilter/NFTables Projekt
Netfilter HowTo
Netfilter Wiki

- Kopie der Quellen erstellen

git clone git://git.netfilter.org/nftables

Firewall Grundlagen

Pakete werden von jeder eingebauten Kette unter Verwendung der folgenden Tabellen verarbeitet.

- In Tabellen werden Filterregeln zu Gruppen zusammengefasst.

Tabellen von nftables
Tabelle (Standard)	Beschreibung
ip	IPv4
ip6	IPv6
arp	APR
bridge	Bridge
inet	(ab Kernel 3.14)

- Jede Tabelle enthält verschiedene Chains. Chains enthalten die eigentlichen Firewall Regeln, sie legen fest, wann ein Paket geprüft wird.

Chains (Ketten) von nftables
Chain	für Tabelle	Beschreibung
INPUT	filter, mangle, security	Pakete, für einen lokalen Prozess
OUTPUT	filter, nat, mangle, raw, security	Pakete, von einem lokalen Prozess
FORWARD	filter, mangle, security	Pakete, die nur weitergeleitet (geroutet) werden
PREROUTING	nat, mangle, raw	Pakete, bevor diese geroutet werden
POSTROUTING	nat, mangle	Pakete, nachdem diese geroutet würden

 

Aktionen, die auf ein Paket angewendet werden
Aktion	Beschreibung
ACCEPT	Paket wird akzeptiert und angenommen
DROP	Paket wird nicht angenommen, der Sender erhält keine Nachricht
REJECT	Paket wird nicht angenommen, der Sender wird benachrichtigt
QUEUE	Paket passiert den Userspace (falls vom Kernel unterstützt)
RETURN	Durchlaufen dieser Kette wird beendet und mit der nächsten Regel der vorherigen (aufrufenden) Kette fortgefahren wird
LOG	Paketdaten werden im System-Log festgehalten
SNAT	(Source-NAT) ändert die Quelladresse des Paketes und wird nur in der POSTROUTING Kette verwendet. (nur nat Tabelle)
MASQUERADE	Ersetzt die Quelladresse des Pakets, durch die IP-Adresse der Schnittstelle, auf dem es den aktuellen Host Rechner verlässt
DNAT	(Destination-NAT) ändert die Zieladresse des Paketes und wird nur in der PREROUTING Kette verwendet.
REDIRECT	ändert die Zieladresse oder ZielPort des Paketes

Wenn einem Chain eine Regel hinzugefügt werden soll, sind die Tables und Chains anzugeben.

 

Befehle / Syntax

Befehl	Beschreibung
Tables
nft add table ip filter	Tables erstellen
nft delete table ip filter	Tables löschen (nur leere Tables lassen sich löschen)
nft flush table ip filter	Tables leeren
Chains
nft add chain ip filter input { type filter hook input priority 0; }	INPUT Chain erstellen
nft delete chain ip filter input	INPUT Chains löschen (nur leere Chains lassen sich löschen)
Befehle
add	Regel wird als letzte angehängt
insert	wird eingefügt, bestehende bearbeitet
nft -i	Interaktiven Modus starten
Regeln
nft list table filter	zeigt vorhandene Regeln an
nft list table filter -a	zeigt eindeutigen Handle der Regel an
nft delete rule filter output handle 5	Regel mit Handle 5 löschen
nft insert rule filter output meta oif lo accept	Regel das ausgehende Pakete von Loopback Device erlaubt (oif - Out Interface)
nft insert rule filter input meta iif eth1 accept	Regel die eingehende Pakete von ETH1 erlaubt
nft insert rule filter input ct state established accept	Connection Tracking einrichten
nft list table filter > rule set	alle Regeln in Datei schreiben
nft -f files/nftables/ipv4-filter	Initialisierung mit leerem Regelwerk, Chains INPUT, FORWARD, OUTPUT werden erstellt.
nft add rule filter output ip daddr 10.10.20.3 counter	dem Chain OUTPUT in der Table FILTER wir eine Regel hinzugefügt
nft add rule ip filter input ip saddr 192.168.2.1 drop	Chain INPUT in der Table FILTER, ankommende Paktete mit der Quelladresse 192.168.2.1 werden verworfen
nft add rule ip filter input tcp dport { ssh, http, https } accept	ankommende Pakete auf dem Zielport 22, 80, 443 zulassen
nft add rule filter input tcp dport 1234 log drop	mehrere Aktionen sind möglich, ankommende TCP Pakete mit Zielport 1234 werden gelogt und dann verworfen

- Nftables initialisieren, Tables und Chains löschen/leeren

nft flush table filter
nft list table filter
table ip filter {
chain input {
type filter hook input priority 0;
}
chain forward {
type filter hook forward priority 0;
}
chain output {
type filter hook output priority 0;
}
}
nft delete chain filter input
nft delete chain filter output
nft -f ruleset

- (Interaktiver Modus) initialisieren Regelwerk anzeigen

nft> list table filter
table ip filter {
chain input {
type filter hook input priority 0;
}
chain forward {
type filter hook forward priority 0;
}
chain output {
type filter hook output priority 0;
}
}
nft>

 

 

 

 

sonstiges