moduli ip6tables-restore e iptables-restore

[nick.rpm]

Come ho già scritto su un'altro post, adesso uso Gentoo e mi sono compilato il kernel manualmente. Io inizialmente volevo usare UFW come Firewall, ma ho avuto difficoltà a trovare le voci giuste nel menuconfig. Ho trovato tutte le voci, ma continuava a non funzionarmi. Adesso avrei cambiato idea a passare a Iptables. Ho seguito la guida WIKI di Iptables di Gentoo, ma Iptables mi diceva che mancano i moduli "ip6tables-restore" e "iptables-restore". Ho provato, e riprovato ad attivarmi moduli su menuconfig tramite suggerimenti che trovavo su internet ma continua a dire che mi mancano questi moduli. Sapete voi che voci dovrei attivarmi sul kernel per avere questi 2 moduli? Grazie!

 

[nick.rpm]

 

[agen]

Ciao, NFtables è la versione aggiornata di Iptables, molto più semplice da usare e più accurato.
Di seguito un esempio di configurazione: quello che uso io.

sudo gedit /etc/nftables.conf

#!/usr/sbin/nft -f

flush ruleset

define lan = "enp5s0"

table inet filter {
chain input {
type filter hook input priority filter; policy drop;
counter
iif "lo" accept
ct state established,related accept
iif != "lo" ip daddr 127.0.0.0/8 counter drop
iifname $lan ip saddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 } counter drop
ip frag-off & 0x1fff != 0 counter drop
ct state invalid limit rate 60/minute burst 50 packets counter drop
tcp flags & (fin|syn|rst|ack) != syn ct state new counter drop
tcp flags & (fin|syn|rst|psh|ack|urg) == fin|syn|rst|psh|ack|urg counter drop
tcp flags & (fin|syn|rst|psh|ack|urg) == 0x0 counter drop
tcp dport 25 counter accept
tcp dport 455 counter accept
tcp dport 2157 counter accept
}

chain output {
type filter hook output priority filter; policy accept;
counter

}

chain forward {
type filter hook forward priority filter; policy drop;
counter
}
}

sudo nft -f /etc/nftables.conf #per salvare le regole

sudo systemctl restart nftables

systemctl status nftables

sudo nft list ruleset

Non ho mai usato Gentoo, ma credo sia RHEL,
Per salvare (nel caso non funzionasse il primo esempio) prova:

sudo -e /etc/sysconfig/nftables.conf

sudo systemctl restart nftables.service

P.S. ipv6 è disabilitato quindi non ho messo regole.

 

[nick.rpm]

Ciao, NFtables è la versione aggiornata di Iptables, molto più semplice da usare e più accurato.
Di seguito un esempio di configurazione: quello che uso io.

sudo gedit /etc/nftables.conf

#!/usr/sbin/nft -f

flush ruleset

define lan = "enp5s0"

table inet filter {
chain input {
type filter hook input priority filter; policy drop;
counter
iif "lo" accept
ct state established,related accept
iif != "lo" ip daddr 127.0.0.0/8 counter drop
iifname $lan ip saddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 } counter drop
ip frag-off & 0x1fff != 0 counter drop
ct state invalid limit rate 60/minute burst 50 packets counter drop
tcp flags & (fin|syn|rst|ack) != syn ct state new counter drop
tcp flags & (fin|syn|rst|psh|ack|urg) == fin|syn|rst|psh|ack|urg counter drop
tcp flags & (fin|syn|rst|psh|ack|urg) == 0x0 counter drop
tcp dport 25 counter accept
tcp dport 455 counter accept
tcp dport 2157 counter accept
}

chain output {
type filter hook output priority filter; policy accept;
counter

}

chain forward {
type filter hook forward priority filter; policy drop;
counter
}
}

sudo nft -f /etc/nftables.conf #per salvare le regole

sudo systemctl restart nftables

systemctl status nftables

sudo nft list ruleset

Non ho mai usato Gentoo, ma credo sia RHEL,
Per salvare (nel caso non funzionasse il primo esempio) prova:

sudo -e /etc/sysconfig/nftables.conf

sudo systemctl restart nftables.service

P.S. ipv6 è disabilitato quindi non ho messo regole.

Grazie! Avevo letto il tuo messaggio, ma volevo prima provare nftables. Non l'ho ancora attivato, ma solo pochi comandi, per vedere se pure nftable se avrei attivato i moduli nel kernel giusti, se mi avrebbe dato errore. Nella guida di nfstable di Gentoo, non hanno precisato un modulo, ma l'ho subito trovato io. Per il momento non ho ricevuto errori, e se tutto vada bene a non darmi errori, allora appena che avrò un pò di tempo, l'ho attiverò! E' la prima volta che cerco di usare un firewall di questo portata. Nftables, credevo che fosse solo una derivata da Iptables, non il successivo. Ti ringrazio ancora!

 

[agen]

Di nulla, ci mancherebbe! Cmq, se vuoi, puoi anche trasformare le regole di Iptables in NFtables.