本技術分享一共分為四章
第一章 緒言
第二章 環境簡介
第三章 nftables簡易規則介紹
第四章 實作nftables與開機載入規則分享
本文(I)將介紹第一章至第三章,
第四章將於(II)進行介紹。
第一章 緒言
由於netfilter已經宣佈了nftables及將自kernel 3.13版本後,
陸續的取代使用許久的iptables。
手邊剛好有了一台沒有任何用途使用中的電腦,
故便幫各位Debian的使用者們,
對nftables進行了簡單的測試。
第二章 環境簡介
本次的測試硬體與軟體環境如下:
DHCP浮動ip網段
某不知名Intel Core Duo 雙核心單執行緒CPU乙顆
G31晶片組主機板
RTL8168 ethernet晶片網卡乙張
Debian Jessie 64bit boot up with SystemD
由於本次使用的硬體僅為單網卡的電腦,
故本次測試的nftables範圍,
就沒有包含到了使用NAT的規則部份。
第三章 nftables簡易規則介紹
由於近日以來,
部份勇於嘗試新鮮的linux distro,
皆提供了其發行板所使用的套件庫內nftables可安裝packages,
並release了nftables相關的wiki文件[1][2],
很可惜的,
在下必須向各位說聲抱歉,
目前debian官方並未提供詳細的nftables wiki相關文件,
不過由於netfilter的官方文件[3]與諸多先進們曾留下的howto筆記中[4][5],
我們仍可以透過這些資訊,
來進行一個基本的nftables study。
於debian jessie中,
目前我們已經可由apt套件庫安裝上nftables,
# apt-get install nftables
在安裝好nftables後,
我們可以看一下/etc/nftables的目錄,
所有最基本的nftables設定皆放在此目錄中。
#ls -l| /etc/nftables
您會看到類似像是這樣的畫面:
-rwxr-xr-x 1 root root 217 5月 28 15:42 bridge-filter
-rwxr-xr-x 1 root root 207 5月 28 15:42 inet-filter
-rwxr-xr-x 1 root root 202 5月 28 15:42 ipv4-filter
-rwxr-xr-x 1 root root 94 5月 28 15:42 ipv4-mangle
-rwxr-xr-x 1 root root 160 5月 28 15:42 ipv4-nat
-rwxr-xr-x 1 root root 206 5月 28 15:42 ipv6-filter
-rwxr-xr-x 1 root root 98 5月 28 15:42 ipv6-mangle
-rwxr-xr-x 1 root root 164 5月 28 15:42 ipv6-nat
各位其實可以發現,
iptables中我們可以設定的規則,
都可以在nftables上的設定檔中來進行設定。
此次我們僅測試到的是ipv4與ipv6的基本功能,
我們便使用ipv4-filter與ipv6-filter這兩個檔案進行匯入
匯入的方式很簡單,
我們可以下這兩個指令,
將ipv4與ipv6的規則迅速的匯入。
# nft -f /etc/nftables/ipv4-filter
# nft -f /etc/nftables/ipv6-filter
此時您可以使用這兩個指令來去察看ipv4與ipv6的現存設定
# nft list table ip filter
# nft list table ip6 filter
這時您看到的畫面,
與您直接cat /etc/nftables/ipv4-filter,
以及cat /etc/nftables/ipv6-filter這兩個指令看到的畫面,
會看到相同的東西。
先來個簡單又實用的example!
若擋了所有input的連線,
但電腦仍然需要上網,
則勢必要讓主動連外的封包可以回來:
# nft add rule ip filter input ct state established accept
同樣的若要是在ipv6的環境下,
也可以加入在ipv6的規則中:
# nft add rule ip6 filter input ct state established accept
在linux上使用ssh來遠端連線是很基本的需求,
使用nfs進行傳送檔案更不用說了,
故依照我們的需求開port也是很理所當然的事情。
假設本機的ssh port在4444,
那麼以下的這條規則就可以幫各位開好了ssh使用的port:
# nft add rule ip filter input tcp dport 4444 accept
當所需要開啟的port不只一個,
在nftables中可以很簡單的使用multi port的方式,
以一條規則開啟多個port,
假設今天要開啟3333、4444以及5555這3個tcp的port,
那麼只要下這一個指令就可以一氣呵成。
# nft add rule ip filter input tcp dport {3333,4444,5555} accept
阻擋某一個ip也是很基本的需求,
假設今天要阻擋來自於ip 1.2.3.4的電腦的連線:
# nft add rule ip filter input ip saddr 1.2.3.4 drop
阻擋某個mac address的網卡的連線,
當然也不會是太困難的事情!
假設今天要阻擋來自00:11:22:33:44:55這個mac address的網卡的連線:
# nft add rule ip filter input ether saddr 00:11:22:33:44:55 drop
其餘部份於(II)繼續進行介紹!
參考文獻
[1] http://wiki.gentoo.org/wiki/Nftables
[2] https://wiki.archlinux.org/index.php/nftables
[3] http://wiki.nftables.org/wiki-nftables/index.php/Main_Page
[4] https://home.regit.org/netfilter-en/nftables-quick-howto/
[5] http://kernelnewbies.org/nftables_examples