Jak zainstalować NFTABLES w Ubuntu

Rysunek 1: Model NFTables TCP/IP

. Es Pozycyjne Que Usted esté viendo una traducción generada automáticamente. Estamos Trabajando con Traductores Profesicales para verificar las traducciones de nuestro sitio Web. Este Proyecto es un trabajo en curs.

Utwórz konto Linode, aby wypróbować ten przewodnik z $ kredyt .

Kredyt zostanie zastosowany do wszelkich ważnych usług używanych w pierwszych dniach.

NFTABLES zastępuje udane iptables i powiązane ramy zbudowane na Netfilter. Z NFTABLES są ulepszenia wydajności i użyteczności, ale także znaczące zmiany w składni i użyciu. Skorzystaj z tego przewodnika, aby uczyć się o tym, czym jest NFTables i jak różni się od IPTABLE. Postępuj zgodnie z przykładem tego przewodnika, aby wdrożyć własne zasady w NFTABLES i uzyskać praktyczne wyobrażenie o tym, co może zrobić.

?

NFTables to struktura klasyfikacji pakietów Linux, która zastępuje infrastrukturę Netfilter za iPtables, IP6Tables, Arptables i EBTables. Frameworki wykorzystujące starszą infrastrukturę Netfilter są wycofywane z głównych rozkładów Linuksa. Frameworki te zaczęły przyjmować NFTABLES jako domyślną framework klasyfikacji pakietów.

Pomimo wszechobecności iPtables, jej architektura ma kilka podstawowych ograniczeń i nieefektywności, a można je rozwiązać tylko z fundamentalnym przeprojektowaniem. Ta przeprojektowanie jest tym, co NFTables postanowił osiągnąć.

NFTABLES vs. iptables

NFTables przechowuje niektóre znane części infrastruktury Netfilter i iptables. Podobnie jak w przypadku iPtables, NFTables nadal używa hierarchii tabel, łańcuchów i reguł – tabel zawierających łańcuchy i łańcuchów zawierających zasady. Podczas gdy NFTables zmienia składnię wiersza polecenia, utrzymuje warstwę kompatybilności, która pozwala uruchomić polecenia IPTables nad jądrem NFTables.

NFTABLES Wprowadza również znaczące zmiany w użyciu z IPTABLES. Po pierwsze, jak wspomniano powyżej, składnia wiersza polecenia dla NFTables jest inna. Poniżej znajdują się dodatkowe godne uwagi różnice między NFTables i IPTables.

  • W przeciwieństwie do IPTABLE, NFTables nie mają predefiniowanych tabel ani łańcuchów, które mają na celu poprawę wydajności.
  • W NFABLES reguły mogą podejmować wiele działań, w przeciwieństwie do ograniczenia IPTABLES dla jednego działania na regułę.
  • NFTABLES jest wyposażony w rodzinę adresów INET, która umożliwia łatwe tworzenie tabel, które mają zastosowanie zarówno do IPv4, jak i IPv6.
  • NFTABLES Monstrails jest reprezentowany przez dynamiczną listę połączoną, która poprawia utrzymanie reguł w porównaniu z monolitycznym zestawem reguł Blob IPABLES.

Ponadto ogólna infrastruktura zestawu NFTABLES otwiera nowe opcje strukturyzacji zestawu reguł, nawet umożliwiając wielowymiarowe struktury „drzew”. Możesz tego użyć, aby znacznie zmniejszyć liczbę zapytających zasad, aby określić odpowiednie działanie dla pakietu.

Jak zainstalować NFTABLES

Nie musisz instalować NFTABLE, jeśli używasz jednego z następujących wersji dystrybucji lub później:

  • Debian 10 (Buster)
  • Ubuntu 20.10 (Groovy Gorilla)
  • Centos 8
  • Fedora 32

W przeciwnym razie możesz ręcznie zainstalować NFTables za pomocą następujących kroków. Te kroki działają dla Debian 9, Ubuntu 18.04 i Centos 7, a późniejsze wydania tych rozkładów.

Zanim zaczniesz

  1. Jeśli jeszcze tego nie zrobiłeś, utwórz konto Linode i oblicz instancję. Zobacz nasze rozpoczęcie działalności z Linode i tworzenie przewodników instancji obliczeniowej.
  2. Postępuj zgodnie z naszą konfiguracją i zabezpieczeniem instancji obliczeniowej w celu aktualizacji systemu. Możesz także ustawić stref czasu, skonfigurować nazwę hosta, utworzyć ograniczone konto użytkownika i Harden SSH Access.

Ten przewodnik został napisany dla użytkowników spoza root. Polecenia wymagające podwyższonych uprawnień są prefiksowane z sudo . Jeśli nie znasz polecenia Sudo, zobacz przewodnik użytkowników i grup Linux.

Kroki instalacji

  1. Zainstaluj NFTABLES.
  2. W dystrybucjach Debian i Ubuntu użyj polecenia:

 sudo apt instaluj nftables 

 sudo yum instaluj nftables 

 Sudo Systemctl Włącz NFTABLES SUDO Systemctl Start NFTABLES 

 sudo apt Zainstaluj iptables-nftables-compat sudo iptables-save> iptables.Zrzuć sudo iPtables-Restore-Translate -f iptables.Zrzut> zestaw reguł.NFT sudo nft -f reguł.nft 

Możesz zweryfikować import, otrzymując listę tabel teraz w NFTables.

 tabele listy sudo nft 

Jak korzystać z NFTABLES

Ta sekcja rozkłada każdy z głównych elementów w NFTABLES, zapewniając swoje najbardziej przydatne polecenia. Na końcu tego przewodnika można znaleźć demonstrację, jak skonfigurować działający zestaw reguł i zobaczyć go w akcji.

Tabele

Tabele to najwyższy poziom hierarchii NFTABLES. Dana tabela odpowiada rodzinie jednego adresu i zawiera łańcuchy, które filtrują pakiety w tej rodzinie adresu.

  • Aby utworzyć tabelę, użyj przykładowej polecenia. Zastąp przykład_tabla poniżej i w kolejnych przykładach, z opisową nazwą tabeli.

 sudo nft Dodaj tabelę inet przykład_table 

 tabele listy sudo nft 

 sudo nft Usuń tabelę inet example_table 

 Sudo NFT Plush Table inet przykład_table 

Więzy

Łańcuch

Jak zainstalować NFTABLES w Ubuntu

Rysunek 1: Model NFTables TCP/IP

Zacznij z NFTABLES

Estamos traducieno nuestros guías y samouczki alspañol. Es Pozycyjne Que Usted esté viendo una traducción generada automáticamente. Estamos Trabajando con Traductores Profesicales para verificar las traducciones de nuestro sitio Web. Este Proyecto es un trabajo en curs.

Utwórz konto Linode, aby wypróbować ten przewodnik z $ kredyt .

Kredyt zostanie zastosowany do wszelkich ważnych usług używanych w pierwszych dniach.

nftables zastępuje udane iptables i powiązane ramy zbudowane na Netfilter. Z NFTABLES są ulepszenia wydajności i użyteczności, ale także znaczące zmiany w składni i użyciu. Skorzystaj z tego przewodnika, aby uczyć się o tym, czym jest NFTables i jak różni się od IPTABLE. Śledź wraz z tym przewodnikiem’przykład do wdrożenia własnych zasad w NFTABLES i uzyskiwania praktycznego wyobrażenia o tym, co może zrobić.

Co to są NFTABLES?

NFTables to struktura klasyfikacji pakietów Linux, która zastępuje Netfilter infrastruktura za iptables, ip6tables, arptables i eBTables. Frameworki wykorzystujące starszą infrastrukturę Netfilter są wycofywane z głównych rozkładów Linuksa. Frameworki te zaczęły przyjmować NFTABLES jako domyślną framework klasyfikacji pakietów.

Pomimo wszechobecności iPtables, jej architektura ma kilka podstawowych ograniczeń i nieefektywności, a można je rozwiązać tylko z fundamentalnym przeprojektowaniem. Ta przeprojektowanie jest tym, co NFTables postanowił osiągnąć.

NFTABLES vs. iptables

NFTables przechowuje niektóre znane części infrastruktury Netfilter i iptables. Podobnie jak w przypadku iPtables, NFTables nadal używa hierarchii tabel, łańcuchów i reguł – tabel zawierających łańcuchy i łańcuchów zawierających zasady. Podczas gdy NFTables zmienia składnię wiersza polecenia, utrzymuje warstwę kompatybilności, która pozwala uruchomić polecenia IPTables nad jądrem NFTables.

NFTABLES Wprowadza również znaczące zmiany w użyciu z IPTABLES. Po pierwsze, jak wspomniano powyżej, składnia wiersza polecenia dla NFTables jest inna. Poniżej znajdują się dodatkowe godne uwagi różnice między NFTables i IPTables.

  • W przeciwieństwie do IPTABLE, NFTables nie mają predefiniowanych tabel ani łańcuchów, które mają na celu poprawę wydajności.
  • W NFABLES reguły mogą podejmować wiele działań, w przeciwieństwie do IPTABLES’ Ograniczenie jednego działania na zasadę.
  • NFTABLES jest wyposażony w rodzinę adresów INET, która umożliwia łatwe tworzenie tabel, które mają zastosowanie zarówno do IPv4, jak i IPv6.
  • nftables’ Zasady jest reprezentowane przez dynamiczną listę połączoną, która poprawia zestaw reguł’S Utrzymanie w porównaniu do IPTABLES’ Monolityczny zestaw reguł kropli.

Dodatkowo NFTABLES’ Generyczna infrastruktura zestawu otwiera nowe opcje strukturyzacji zestawu reguł, nawet umożliwiając wielowymiarowe “drzewo” Struktury. Możesz tego użyć, aby znacznie zmniejszyć liczbę zapytających zasad, aby określić odpowiednie działanie dla pakietu.

Jak zainstalować NFTABLES

Nie musisz instalować NFTABLE, jeśli używasz jednego z następujących wersji dystrybucji lub później:

  • Debian 10 (Buster)
  • Ubuntu 20.10 (Groovy Gorilla)
  • Centos 8
  • Fedora 32

W przeciwnym razie możesz ręcznie zainstalować NFTables za pomocą następujących kroków. Te kroki działają dla Debian 9, Ubuntu 18.04 i Centos 7, a późniejsze wydania tych rozkładów.

Zanim zaczniesz

  1. Jeśli jeszcze tego nie zrobiłeś, utwórz konto Linode i oblicz instancję. Zobacz nasze rozpoczęcie działalności z Linode i tworzenie przewodników instancji obliczeniowej.
  2. Postępuj zgodnie z naszą konfiguracją i zabezpieczeniem instancji obliczeniowej w celu aktualizacji systemu. Możesz także ustawić stref czasu, skonfigurować nazwę hosta, utworzyć ograniczone konto użytkownika i Harden SSH Access.

Ten przewodnik został napisany dla użytkowników spoza root. Polecenia wymagające podwyższonych uprawnień są prefiksowane z sudo . Jeśli ty’Nie zaznajomiony z poleceniem sudo, zobacz przewodnik użytkowników i grup Linux.

Kroki instalacji

  1. Zainstaluj NFTABLES.

  2. W dystrybucjach Debian i Ubuntu użyj polecenia:

 sudo apt instaluj nftables 

 sudo yum instaluj nftables 

 Sudo Systemctl Włącz NFTABLES SUDO Systemctl Start NFTABLES 

 sudo apt Zainstaluj iptables-nftables-compat sudo iptables-save> iptables.Zrzuć sudo iPtables-Restore-Translate -f iptables.Zrzut> zestaw reguł.NFT sudo nft -f reguł.nft 

Możesz zweryfikować import, otrzymując listę tabel teraz w NFTables.

 tabele listy sudo nft 

Jak korzystać z NFTABLES

Ta sekcja rozkłada każdy z głównych elementów w NFTABLES, zapewniając swoje najbardziej przydatne polecenia. Na końcu tego przewodnika można znaleźć demonstrację, jak skonfigurować działający zestaw reguł i zobaczyć go w akcji.

Tabele

Tabele to najwyższy poziom hierarchii NFTABLES. Dana tabela odpowiada rodzinie jednego adresu i zawiera łańcuchy, które filtrują pakiety w tej rodzinie adresu.

    Aby utworzyć tabelę, użyj przykładowej polecenia. Zastąp przykład_tabla poniżej i w kolejnych przykładach, z opisową nazwą tabeli.

 sudo nft Dodaj tabelę inet przykład_table 

 tabele listy sudo nft 

 sudo nft Usuń tabelę inet example_table 

 Sudo NFT Plush Table inet przykład_table 

Więzy

Łańcuchy żyją pod stołami i pakietami filtrowania. Załączasz każdą zasadę NFTABLES do łańcucha, aby pakować “złapany” w łańcuchu’filtr S są następnie przekazywane do łańcucha’S. Zasady.

Łańcuchy mogą mieć dwa rodzaje. Baza Łańcuchy działają jako punkty wejścia dla pakietów pochodzących ze stosu sieciowego. Regularny Łańcuchy nie działają jako filtry, ale mogą działać jako cele skokowe. Mogą pomóc w kontrolowaniu przepływu i organizacji nftables.

    Aby utworzyć łańcuch podstawowy, użyj polecenia, takiego jak poniższe polecenie przykładowe. Wymień przykład_chain, tutaj i później, opisową nazwą łańcucha.

 sudo nft add łańcuch inet example_table przykład_chain '' 

  

 sudo nft usuń łańcuch inet example_table 

 sudo nft łańcuch spłukiwa 

Zasady

Reguły odbierają pakiety filtrowane przez łańcuchy i podejmują działania na ich temat w zależności od tego, czy pasują do konkretnych kryteriów. Każda reguła składa się z dwóch części, które podążają za tabelą i łańcuchem w poleceniu. Po pierwsze, zasada ma zero lub więcej Wyrażenia które dają kryteria reguły. Po drugie, reguła ma jeden lub więcej sprawozdania które określają działanie lub działania podjęte, gdy pakiet odpowiada zasadzie’wyrażenia s. Zarówno wyrażenia, jak i stwierdzenia są oceniane od lewej do prawej. Zobacz poniższy przykład dodania reguły, aby uzyskać podział tych dwóch części.

    Aby utworzyć regułę, użyj polecenia podobnego do przykładu. Ta reguła pobiera pakiety z przykładu i umożliwia osobom reprezentującym ruch TCP na porcie 22:

 sudo nft Dodaj regułę INET przykład_table przykład_chain tcp dport 22 Counter 

  • Tutaj część TCP DPORT 22 zawiera zasadę’s dwa wyrażenia. Pasuje do pakietów TCP, a następnie pasuje, gdy te pakiety są kierowane do portu 22.
  • Część akceptacji kontrataków zawiera zasadę’s dwa stwierdzenia. ’S liczbowa, utrzymanie liczby działających pakietów dopasowanych do reguły. Po drugie, dopasowane pakiety są następnie akceptowane.
  • Pamiętaj, że polecenia werdyktu, takie jak akceptacja i upuszczenie, przetwarzanie końcowe reguły, więc powinny być umieszczone na regule’.

 sudo nft Dodaj regułę inet_table example_chain Pozycja 3 TCP DPORT 22 Counter Zaakceptuj 

 Sudo NFT List Tabela INET 

Podobnie możesz użyć polecenia takiego jak przykład, aby wymienić wszystkie reguły w ramach przykładu w example_table .

 łańcuch listy sudo nft inet example_table example_chain 

 sudo nft reguł 

Tutaj uchwyt jest identyfikatorem dla reguły, którą usuwasz. Możesz uzyskać zasadę’s Usunięcie przy użyciu opcji -a podczas uruchamiania polecenia dla reguł listy, jak w:

 Sudo NFT List Tabela INET przykład_table -a 

Przykład użycia NFABLES

Poniżej możesz śledzić, aby utworzyć zestaw reguł. Przykładowy zestaw reguł wykorzystuje tabelę INET, dwa łańcuchy – jeden dla pakietów przychodzących, a drugi dla wychodzących – i reguły dla każdego łańcucha.

    Utwórz tabelę, stolik inet .

 sudo nft Dodaj tabelę inet iNet Table 

 sudo nft add łańcuch inet inet-table-table-filter-filtr-łańcuch ''< type filter hook output priority 0; >' 

 sudo nft Dodaj regułę inet inet-table-filtr-filter-łańcuch ip Daddr 8.8.8.8 licznik 

 sudo nft add łańcuch inet inet-table-filter-filter< type filter hook input priority 0; >&bdquo;sudo nft Dodaj regułę inet inet-table-filter-łańcuch TCP DPORT 3030 

 Sudo NFT Tabela INET INET Table 

Tabela IP INET Table < chain output-filter-chain < type filter hook output priority 0; policy accept; ip daddr 8.8.8.8 counter packets 0 bytes 0 >łańcuch wejściowy łańcucha wejściowego < type filter hook input priority 0; policy accept; tcp dport 3030 counter packets 0 bytes 0 >> 

    Z maszyny działającej NFTABLES, ping adres docelowy określony w pierwszej regule.

 ping -c 1 8.8.8.8 

 Curl 192.0.2.0: 3030 

Tabela IP INET Table < chain output-filter-chain < type filter hook output priority 0; policy accept; ip daddr 8.8.8.8 counter packets 1 bytes 84 >łańcuch wejściowy łańcucha wejściowego < type filter hook input priority 0; policy accept; tcp dport 3030 counter packets 1 bytes 64 >> 

Więcej informacji

Możesz skonsultować się z następującymi zasobami, aby uzyskać dodatkowe informacje na ten temat. Chociaż są one dostarczane w nadziei, że będą przydatne, pamiętaj, że nie możemy ręczyć za dokładność lub terminowość materiałów hostowanych zewnętrznie.

  • nftables
  • NFTABLES Adres Family
  • Konfigurowanie łańcuchów w NFTABLES

Ta strona została pierwotnie opublikowana w piątek, 9 lipca 2021.

Jak zainstalować NFTABLES w Ubuntu

W tym artykule nauczymy się, jak zmienić zaporę Linux z IPTABLES na NFTABABALS na Ubuntu. IPTABLES, oparty na module Netfilter jądra Linux, jest obecnie domyślną zaporą dla wielu dystrybucji Linux. Chroni przed wieloma wektorami zagrożeń i pozwala serwerze blokować niechciany ruch w oparciu o określony zestaw reguł.

NFTables to nowy podsystem jądra Linux, który zastępuje kilka części frameworka Netfilter (na których opiera się IPTABLES), co pozwala na lepszą funkcjonalność. Zmiany te zostały zaimplementowane w wersji 3 jądra.13. Ten moduł poprawia funkcję Netfilter podobną do zapory do filtrowania ruchu sieciowego. Zaawansowana struktura NFTables jest modelowana po systemie Berkeley Packet Filter (BPF), który wykorzystuje podstawowy zestaw wyrażeń do budowy zgrupowanych, złożonych reguł filtrowania. To&rsquo;S warto wskazać, że nie jest to aktualizacja dla IPTables, ale raczej zamiennik. IPTABLES wkrótce zostanie zastąpiona przez NFTABLES w większości systemów jako pojedyncza zunifikowana platforma, zapewniając konfigurację zapory na maszynie wirtualną w wirtu.

Czym różni się nftables od iptables?

W iPtables istnieje kilka łańcuchów i tabel, które są ładowane domyślnie.
W NFTABLES nie ma domyślnych łańcuchów ani tabel.

W iptables jest tylko jeden cel na zasadę.
W NFTABLES możesz wykonać wiele działań w ramach jednej reguły.

W NFTABLES istnieje narzędzie o nazwie ipset. Korzystanie z IPSet pozwala na listę wielu sieci lub adresów, które można dopasować w jednej regule.

W strukturze iPtables istnieją cztery narzędzia na rodzinę:

  • iptables
  • IP6Tables
  • Arptables
  • ebtables

NFABLES zawiera warstwę kompatybilności, która obejmuje wszystkie te narzędzia, co pozwala na użycie składni starych reguł IPTABLES.

Jakie są korzyści z NFTABLES?

Główne zalety NFTABLES to:

  • Architektura, która jest wbudowana w jądro
  • Składnia, która konsoliduje narzędzia IPTABLES w jednym narzędziu wiersza poleceń
  • Warstwa kompatybilności, która umożliwia użycie składni reguł IPTABLES.
  • Nowa, łatwa do nauczenia się składni.
  • Uproszczony proces dodawania zasad zapory.
  • Ulepszone raportowanie błędów.
  • Zmniejszenie replikacji kodu.
  • Lepsza ogólna wydajność, retencja i stopniowe zmiany w filtrowaniu reguł.

Porównanie reguł

.Wszystkie informacje o zaporze można oglądać za pomocą pojedynczego narzędzia wiersza polecenia o nazwie NFT. NFT używa jednej reguły zarówno dla adresów IPv4, jak i IPv6 zamiast używania wielu reguł dla każdego zadania. Nie zakłada pełnej kontroli nad zaplecza zapory i nie usunie reguł zapory instalowanej przez inne narzędzia lub użytkowników. . Wreszcie, nowy backend NFT jest prawie w 100% kompatybilny z istniejącymi konfiguracją zapory.

Oto prosta reguła upuszczania adresu IP w NFTables:

NFT Dodaj regułę IP Filtr wyjściowy IP Daddr 10..10.10 Drop

..10.10 -J Drop

Te przykłady poniżej tworzą zestaw reguł zapory, który umożliwia ruch IPv6 do różnych usług portów.

root@host [~]# nft Dodaj regułę IP6 Wprowadzenie filtra TCP DPORT Akceptuj root@host [~]# nft Dodaj regułę IP6 Wprowadzenie ICMPV6 Typ < nd-echo-request, nd-router-advert, neighbor-solicit, nd-neighbor-advert >zaakceptować

Oto kilka innych przykładów:

#Review bieżą konfiguracja: root@host [~]# NFT List RuleTet #Add Nowa tabela, z rodziną &bdquo;inet&rdquo; i tabeli &bdquo;filtr&rdquo;: root@host [~]# nft Dodaj tabelę INET Filter #Add Nowy łańcuch, aby zaakceptować cały ruch podchodzący: root@host [~]# NFT Dodaj łańcuch inet Filter wejściowy \ \ < type filter hook input priority 0 \; policy accept \>#Add nową zasadę, aby zaakceptować kilka portów TCP: root@host [~]# nft Dodaj regułę inet input tcp dport \ < ssh, telnet, https, http \>Zaakceptuj #TO Pokaż uchwyty reguł: root@host [~] # nft -uchwyt -Numeric List łańcuch rodzinny łańcuch tabeli # do usuwania reguły: root@host [~] # nft usuń regułę inet Filtr Uchwyt wprowadzania 3 #To Zapisz bieżącą konfigurację: root@host [~] # NFT lista reguły> /etc /nftables.conf

Jest to szybki przegląd używanych zamienników:

tłumaczy NFTables

Instalacja debian/ubuntu

Cyber ​​atak

.Metoda instalowania NFTABLES na serwerze Debian/Ubuntu jest bardzo prosta. W poniższej sekcji zapisaliśmy bieżące reguła IPTABLES na .Plik TXT, przejrzał plik, przetłumaczył go na format czytelny NFT, a następnie zaimportował go do nowego zestawu reguł NFT.

root@host: ~# iptables-save> fwrules.txt root@host: ~# cat fwrules.txt root@host: ~# iPtables-Restore-Translate -f fwrules.txt root@host: ~# iPtables-Restore-Translate -f fwrules.TXT> Rulest.nft

tłumaczy NFTables

W drugiej części procesu instalujemy NFTables i narzędzie IPTABLES-NFTables-Compat (które ładuje reguły do ​​podsystemu jądra NF_TABLES), a na koniec włączamy serwis.

root@host: ~# apt Zainstaluj nftables root@host: ~# apt Zainstaluj iptables-nftables-compat root@host: ~# Systemctl Włącz NFTables.praca

W końcowej sekcji pobieramy poprzedni zestaw reguł z zestawu reguł.plik NFT. Następnie dokonujemy przeglądu zestawu reguł z &lsquo;lista&rsquo; .

root@host: ~# nft -f reguła.NFT root@host: ~# nft lista reguł < chain PREROUTING < type nat hook prerouting priority 0; policy accept; >Wejście łańcucha < type nat hook input priority 0; policy accept; >Wyjście łańcucha < type nat hook output priority 0; policy accept; >Łańcuchowe < type nat hook postrouting priority 0; policy accept; >> Tabela Ip Mangle < chain PREROUTING < type filter hook prerouting priority 0; policy accept; >Wejście łańcucha < type filter hook input priority 0; policy accept; >łańcuch naprzód < type filter hook forward priority 0; policy accept; >Wyjście łańcucha < type filter hook output priority 0; policy accept; >Łańcuchowe < type filter hook postrouting priority 0; policy accept; >> Tabela IP RAW < chain PREROUTING < type filter hook prerouting priority 0; policy accept; >Wyjście łańcucha < type filter hook output priority 0; policy accept; >> Tabela IP Filtr < chain INPUT < type filter hook input priority 0; policy accept; >łańcuch naprzód < type filter hook forward priority 0; policy accept; >Wyjście łańcucha < type filter hook output priority 0; policy accept; >> Tabela filtra inet < chain input < type filter hook input priority 0; policy accept; >łańcuch naprzód < type filter hook forward priority 0; policy accept; >Wyjście łańcucha < type filter hook output priority 0; policy accept; >> root@host: ~# 

NFT Command Streszczenie

#NFT Opcje poleceń i składnia root@host [~]# nft [-nnscaesupyj] [-i Directory] [-f nazwa pliku | -i | cmd…] root@host [~]# nft -h użycie: nft [opcje] [cmds. ] Opcje: -h, - -Help Pokaż tę pomoc -v, --version Pokaż informacje o wersji -C, -Sprawdź poprawność poleceń bez faktycznego stosowania zmian. -f, -plik odczytu Wejście od -i, -interaktywne odczyt wejściowe od interaktywnego CLI -n, --Numeric Jeśli raz określono, pokaż adresy sieciowe (domyślne zachowanie). Podaj dwukrotnie, aby również wyświetlać usługi internetowe (numery portów). Określ trzykrotnie, aby pokazać również protokoły, identyfikatory użytkowników i identyfikatory grupy. -S, -Bezstronnie pomiń stanowe informacje na temat zestawu reguł. -N Przetłumacz adresy IP na nazwy. -A, -uchwyt reguł wyjściowych uchwytu. -e, -ech echo to, co zostało dodane, wstawione lub wymienione. -I, -IncludEpath Dodaj do ścieżek wyszukiwanych plików zawierających pliki. Domyślnie: /etc - -debug określa poziom debugowania (skaner, parser, eval, netlink, mnl, proto -ctx, segtree, all) root@host [~]# nft -v nftables v0.8.2 (Joe BTFSPLK)

Firewalld i Nftables

? . Na poniższym obrazku Firewalld widzimy, jak IPTables i Firewalld obecnie współdziałają.

Struktura zapory ogniowej Nftables

Wczesnym problemem z IPTABLES i Firewalld polegał na tym, że Firewalld przyjęła pełną kontrolę nad zaporem na serwerze. Teraz, przy użyciu nftables jako backenda, nie ma to już prawda, ponieważ NFTables pozwoli na wiele przestrzeni nazw, a zapora ogniowa będzie zakres reguł, zestawów i łańcuchów w tabeli zapory. Unika to wielu konfliktów, które można napotkać z innym oprogramowaniem, które nie wchodzą bezpośrednio z Firewalld. W nadchodzących wydaniach NFTables zostanie zaktualizowany, aby korzystać z nowych libnftables.

Przywrócić

Jeśli z jakiegoś powodu musisz powrócić do starego zaplecza IPTABLES, możesz to łatwo zrobić, resetując &lsquo;Firewallbackend&lsquo; Wpis /etc/firewalld/firewalld.conf wrócić do &lsquo;iptables&lsquo;, a następnie uruchom ponownie zaporę ogniową.

Dowiedz się, jak ta nowa usługa może zmieścić się w ogólnym planie bezpieczeństwa dla twojego serwera. Nadal nie jest pewni, jak to zaimplementować na serwerze Ubuntu lub mieć dodatkowe pytania? Nasi technicy wsparcia stoją w celu zaoferowania naszej pomocy w odpowiedzi na nie i wszelkich innych pytaniach dotyczących tej technologii.

Powiązane artykuły:

  • Jak naprawić &ldquo;Ta strona może&rsquo;t Zapewnij bezpieczne połączenie&rdquo; Błąd
  • Jak zainstalować MongoDB na Almalinux
  • Jak zainstalować PostgreSQL na Almalinux
  • Jak używać zestawu narzędzi WP do zabezpieczenia i aktualizacji WordPress
  • Jak zainstalować i skonfigurować ansible na Almalinux
  • Jak zainstalować Redis w pojemniku Easyapache 4 w CPANEL

O autorze: David Singer

Jestem blogerem G33K, Linux, programistą, studentem i byłym pisarzem technologicznym dla Liquidweb.com. Moja pasja do wszystkich rzeczy technologicznych napędza moje polowanie na całe Coolz. Często potrzebuję wakacji po powrocie z wakacji.

Skieruj przyjaciela

Dołącz do naszej listy mailingowej, aby otrzymywać wiadomości, wskazówki, strategie i inspirację, której potrzebujesz, aby rozwinąć swój biznes

Co&rsquo;S NOWOŚĆ W BEZPIECZEŃSTWO DLA UBUNTU 22.04 LTS?

Canonical Ubuntu 22.04 LTS to najnowsza długoterminowa wersja wsparcia Ubuntu, jednego ze świata&rsquo;S najpopularniejsze dystrybucje Linux. Jako długoterminowe wydanie wsparcia Ubuntu 22.04 LTS będzie obsługiwany przez 10 lat, otrzymując zarówno rozszerzone aktualizacje bezpieczeństwa, jak i żywe jądra za pośrednictwem subskrypcji Ubuntu Advantage (która jest bezpłatna do użytku osobistego). Kontynuuje to punkt odniesienia Ubuntu LTS, który służy jako najbezpieczniej. W tym poście na blogu przyjrzymy się różnym funkcjom bezpieczeństwa i ulepszeń, które znalazły się w tej nowej wersji od czasu Ubuntu 20.04 LTS Wydanie. Aby uzyskać bardziej szczegółowe zbadanie niektórych z tych funkcji, należy sprawdzić poprzednie artykuły z tej serii, które obejmują ulepszenia dostarczone w każdym tymczasowym wydaniu Ubuntu w ciągu ostatnich 2 lat między 20.04 LTS i 22.04 LTS.

Zoptymalizowane jądra Linux

Ubuntu 22.04 LTS wprowadza zoptymalizowane wersje jądra dla różnych platform. ..15 jądro. Ogromna liczba zmian i ulepszeń bezpieczeństwa trafiła do jądra Linux od czasu V5.4 jądro Ubuntu 20.04 LTS, w tym:

Specyficzne ulepszenia bezpieczeństwa

Intel&rsquo;S oprogramowania Rozszerzenia ochrony (SGX) zapewnia bezpieczne enklawy wspierane przez sprzęt, których aplikacje mogą użyć do przechowywania wrażliwych danych lub wykonywania wrażliwych obliczeń bez ryzyka zakłóceń niezaufanych komponentów. Ubuntu 22.04 LTS umożliwia obsługę tej funkcji, która jest obecna w procesorach Intel od wielu lat. Podczas gdy dla platform ARM wsparcie dla ARMV8.5 Rozszerzenie oznaczania pamięci jest teraz dostępne na urządzeniach ARM64. Ta funkcja ma na celu zapobieganie problemom bezpieczeństwa pamięci poprzez oznaczenie adresów pamięci za pomocą klucza, którego nie można łatwo sfałszować, a tym samym zapobieganie wspólnym atakom bezpieczeństwa pamięci, takim jak przepełnienia bufora. . Wreszcie, AMD Secure Encrypted Virtualaliation (SEV) jest również obsługiwane przez podsystem wirtualizacji KVM, aby chronić rejestry maszyn wirtualnych gości przed dostępem przez system operacyjny hosta.

Ogólne ulepszenia bezpieczeństwa jądra

Dostępnych jest również szereg innych ogólnych, niezależnych od platformy funkcje bezpieczeństwa jądra, w tym zarówno nowe funkcje bezpieczeństwa, takie jak harmonogram podstawowy, a także różne ulepszenia utwardzania. Od pierwszych przypadków mikroarchitektonicznych luk w kanale bocznym (tj. Widmo itp.) Zostały po raz pierwszy odkryte ponad 4 lata temu, programiści pracowali nad środkami do kontrolowania, w jaki sposób zaplanowane są na symetrycznych rdzeniach wieloprocesowych (SMT). SMT rodzeństwo udostępniają zasoby sprzętowe procesora między sobą, dzięki czemu w rezultacie może być dość trudne do uniknięcia różnych ataków w kanale bocznym sprzętowym. Obecnie zapewnia obsługę planowania podstawowego, co pozwala procesom kontrolować, które wątki będą zaplanowane przez rodzeństwo SMT, a zatem może pozwolić im chronić poufne informacje przed wyciekiem do innych niezaufanych procesów w systemie.

Randomizacja stosu jądra stanowi miarę utwardzania, aby sfrustrować atakujących, którzy chcą wykonywać ataki korupcji pamięci w jądrze. Umieszczając stos jądra na innym przesunięciu na kolejnych wywołaniach systemowych, atakujący nie są w stanie wykonywać ataków, najpierw wyciekając adres stosu jądra, a następnie zastąpienie tej pamięci na późniejszym wywołaniu systemowym. Zamykając ten potencjalny wektor ataku Ubuntu 22.04 LTS zapewnia bardziej obronną platformę przeciwko atakom jądra.

Podsystem BPF odnotował także szereg ulepszeń bezpieczeństwa, w tym domyślnie ograniczenie jego użycia do jedynie uprzywilejowanych procesów, a także włączenia początkowych starań wspierania podpisanych programów BPF. Oba te środki mają na celu zminimalizować szansę, że ten cechy podsystem może zostać wykorzystany do atakowania jądra, a jednocześnie umożliwia stosowanie go zarówno przez programistów, jak i administratorów systemu w razie potrzeby.

Wreszcie, włączenie nowego modułu bezpieczeństwa Landlock Linux zapewnia kolejny mechanizm piaskownicy aplikacji do bardziej tradycyjnych metod za pośrednictwem Apparmor lub Selinux. Landlock umożliwia aplikacjom określenie własnych zasad (a zatem jest bardziej podobne do filtrów SECComp) w przeciwieństwie do Apparmor i Selinux, które zostały zaprojektowane tak, aby umożliwić administratorowi systemu skonfigurowanie globalnych zasad systemowych w różnych aplikacjach. W połączeniu z stosem LSM, Landlock może być używany w połączeniu z Apparmor, aby zapewnić podejście do defencji do izolacji aplikacji.

Ulepszenia bezpieczeństwa przestrzeni użytkowników

Z każdą nową wersją Ubuntu istnieje możliwość odświeżenia zakresu pakietów oprogramowania dostarczonych w archiwum Ubuntu do ich najnowszych wydań upstream. Ubuntu 22.04 LTS nie jest wyjątkiem, wprowadzając aktualizacje do wielu pakietów odpowiednich bezpieczeństwa, w tym OpenSSL, OpenSSH, NFTABLES, GCC, a nawet skromnej powłoki bash.

Openssl 3

Ubuntu 22.04 LTS wysyłanie z najnowszą główną wersją czcigodnej narzędzi do kryptografii, OpenSSL. W OpenSSL 3 wiele starszych algorytmów zostało domyślnie przestrzeganych i wyłączonych – w tym MD2 i DES. Te i inne przestarzałe algorytmy są obecne w starszym dostawcy, które można włączyć w razie potrzeby za pośrednictwem zmiany konfiguracji lub programowo. Używając ich domyślnie, użytkownicy i aplikacje są chronione przed atakami kryptograficznymi na te mniej bezpieczne algorytmy.

OpenSsh UX Ulepszenia tokenów FIDO/U2F

Kolejną podstawą ekosystemu bezpieczeństwa Linux jest OpenSsh, zapewniający bezpieczny dostęp do systemów Linux. Od wersji 8 wystąpiło siedem wydań Openssh.2 zostało uwzględnione w poprzednim Ubuntu 20.04 LTS Release, wnosząc szereg ulepszeń dla administratorów systemów, programistów i użytkowników. W szczególności użycie tokenów bezpieczeństwa sprzętowego U2F/FIDO zostało znacznie ulepszone w OpenSsh 8.9, przynosząc znaczące korzyści dla użytkownika podczas korzystania z tych urządzeń uwierzytelniania drugiego współczynnika do zdalnego dostępu.

nftables jako domyślny backend zapory

Zapory ogniowe na Linux składa się z dwóch komponentów – mechanizmu zapory w jądrze Linux oraz narzędzia używane do konfigurowania tego z przestrzeni użytkowników. Kernel Linux tradycyjnie obsługiwał dwa różne podsystemy dla polityk zapory – iptables / XXTable i nowsze nftables. NFTables zapewnia znaczące korzyści zarówno pod względem wydajności, jak i elastyczności podczas tworzenia i wdrażania reguł zapory, szczególnie w przypadku systemów IPv4/IPv6 z podwójnym stosem. Tradycyjne iptables Narzędzie do zarządzania przestrzenią użytkowników konfiguruje teraz nftables Backend jądra, podczas gdy nowy nft Narzędzie do przestrzeni użytkowników jest również obecne, aby umożliwić tworzenie bardziej elastycznych reguł, które nie są obsługiwane przez tradycyjne iptables paradygmat.

GCC 11 i Bash 5.1

GCC 11.2 przynosi ulepszone możliwości analizy statycznej, umożliwiając programistom wykrywanie i naprawianie potencjalnych podatności na oprogramowanie i inne problemy podczas cyklu rozwoju. Obejmuje to obsługę wykrywania możliwych użytkowania bez użycia, zerowcodem wskaźnika, wycieku pamięci i niebezpiecznych połączeń z warunków obsługi sygnału. Za pomocą Ubuntu 22.04 LTS jako podstawa ich platform programistycznych, programiści mogą pomóc upewnić się, że kod, który pisał.

Zarówno deweloperzy, jak i administratorzy skorzystają również z włączenia Bash 5.1. To wydanie czcigodnej powłoki obejmuje natywną obsługę ulepszonej generowania liczb pseudo-randomych za pośrednictwem zmiennej $ SRANDOM. W przeciwieństwie do historycznej zmiennej losowej $, $ SRandom pochodzi z jądra&rsquo;S /Dev /Urandom bezpieczne losowe urządzenie źródłowe, zapewniając, że jego wyjściu nie można łatwo przewidzieć przez potencjalnych atakujących.

Prywatne katalogi domu

Tradycyjnie Ubuntu Systems zdecydowały się na wygodę udostępnionego dostępu do użytkownika&rsquo;. Jednak w miarę ewolucji krajobrazu technologii, a Ubuntu stał się dominujący w innych domenach, takich jak przetwarzanie w chmurze i Internet przedmiotów (IoT), bardziej obronne podejście jest niezbędne do ochrony użytkowników i ich danych. Ubuntu 22.04 LTS domyślnie umożliwia prywatne katalogi domowe, upewniając się, że dane użytkowników nie są dostępne dla innych bez ich wyraźnej zgody.

W sumie zakres ulepszeń bezpieczeństwa w Ubuntu 22.04 LTS sprawia, że ​​jest to jak dotąd najbezpieczniejsze wydanie Ubuntu, wykorzystując i opierając się na różnych innych funkcjach hartowania i bezpieczeństwa, które od dawna są podstawową częścią Ubuntu. Ponadto aktualizacje bezpieczeństwa i żywe jądra dla 22.04 LTS są dostarczane przez dziesięć lat za pośrednictwem subskrypcji Ubuntu Advantage, kontynuując punkt odniesienia wydawnictw Ubuntu LTS służący jako najbezpieczniej.

Porozmawiaj z nami dzisiaj

Zainteresowany uruchomieniem Ubuntu w Twojej organizacji?

Konfigurowanie zapory ogniowej NFTables

Autor: Jeroen Van Kessel LinkedIn świergot github |. 1 czerwca 2020 | 10 min Przeczytaj

NFTables (Netfilter) konsoliduje tabele w nowej zaporze Linux na bazie jądra. Większość dystrybucji Linux zmienia się z IPTABLES na NFTABLES jako ich domyślne frameworka zapory. NFTABLES jest teraz domyślnie w Debian 10, Ubuntu 20.04, Rhel 8, Suse 15 i Fedora 32. Czas migracji!

Ten post na blogu opracowuje sposób konfigurowania nftables na podstawie modelu obwodowego, który jest wizualizowany metaforycznie na zdjęciu 1. Spójrz na model sieci zerowej, jeśli chcesz wypełnić luki w podejściu opartym na obwodzie. Sprawdź także PF, jeśli potrzebujesz solidnego rozwiązania zapory na krawędzi sieci.

Zdjęcie 1: Fort Bourtange, Holandia (zdjęcie Elise Van Heck)

Rozpoczęcie pracy z NFTABLES

Najpierw instalujemy nftables:

$ sudo apt -get instaluj nftables -y 

$ nft -v nftables v0.9.3 (topsy) 

Następnie włączamy nftable na rozruchu i uruchamiamy demona:

$ sudo systemCtl Włącz nftables $ sudo systemctl start nftables $ sudo Systemctl Status nftables nftables.Service - NFTABLES Załadowany: załadowany (/lib/systemd/system/nftables.praca; wyłączony; PRESET dostawcy: włączony) Active: Active (Exited); 1s temu dokumenty: człowiek: nft (8) http: // wiki.nftables.Proces org: 16565 execStart =/usr/sbin/nft -f/etc/nftables.CONF (kod = wyjazd, status = 0/Success) główny PID: 16565 (kod = wyjazd, status = 0/Success) 

Jak działa NFTABLES

NFTables jest w istocie filtrem sieciowym, zwaną także listą kontroli dostępu do sieci (ACL), która umożliwia kontrolowanie przepływów danych sieciowych. Te filtry sieciowe są hierarchiczne i zależne od zamówienia. Rysunek 1 pokazuje, jak funkcjonuje NFTables na podstawie modelu TCP/IP:

Rysunek 1: Model NFTables TCP/IP

Zacznijmy od dołu w modelu TCP/IP. Link danych jest punktem, w którym można usprawnić ruch dla określonych (wirtualnych) NICS (karty interfejsu sieciowego) na podstawie ich przychodzącego VNIC (IIFName) i nadchodzącego VNIC (OIFName). W ten sposób możesz segmentować ruch danych (e.G. HTTPS) z ruchu zarządzania (e.G. SSH lub VNC).
Na linku danych protokół ARP (protokół rozdzielczości adresowej) służy do rozwiązania adresu IP na adres MAC. Podczas początkowej transmisji ARP złośliwy podmiot może podjąć próbę powiązania swojego adresu MAC z adresem IP do żądanego adresu IP hosta, powodując, że ruch jest przeznaczony do wysłania tego adresu IP do hosta atakującego. Możesz kontrolować ruch ARP w sekcji filtra ARP (1).

Dalej jest internetowa obsługa TCP/IP i warstwa transportowa z filtrem IP i filtrem IP6 (2). Te filtry pomagają nam kształtować ruch sieciowy z naszego hosta IP (SADDR) na segmenty sieciowe lub inny host (DADDR). NFTables może filtrować pakiety na podstawie protokołu sieciowego, portu docelowego (DPORT), źródłowego portu (Sport) i jego stanu sesji (stan CT). Mała uwaga – protokół ICMP jest w rzeczywistości częścią protokołu IP i dlatego technicznie działa w warstwie internetowej. Idealnie, Twoje tabele IP i IP6 powinny blokować dowolny ruch sieciowy (upuść), chyba że jest to wyraźnie dozwolone (akceptuj).

NFTables to filtr sieciowy, a nie natywna zapora warstwy warstwy 7 (L7). Porty sieciowe są często mylone z elementami sterowania sieciami aplikacji. Należy pamiętać, że złośliwy aktor może tunelować powrót skorupy nad portem TCP 443 (HTTPS) lub Port UDP 53 (DNS). Filtrowanie aplikacji (L7) może wypełnić te luki, wykorzystując serwer proxy Web dla ruchu HTTPS oraz systemy zapobiegania włamaniom (IPS) w celu zrzucenia złośliwego ruchu tunelowanego na inne protokoły sieciowe, nawet przez ICMP. DPI (głęboka inspekcja pakietów) jest tutaj słowem kluczowym.

Jak skonfigurować NFTABLES

Będziemy edytować bezpośrednio /etc /nftables.Plik konfiguracyjny CONF zamiast używać NFT CLI (NFT Add) i (NFT Delete). Ten plik konfiguracyjny jest domyślnie ładowany podczas rozruchu. Musisz być rootem (sudo), aby ustawić filtry zapory na portach poniżej 1024.

$ sudo cp /etc /nftables.conf /etc /nftables..bak $ sudo vi /etc /nftables.conf 

Najpierw definiujemy zmienne, które możemy wykorzystać później w naszym zestawie reguł:

Zdefiniuj NIC_Name = "ETH0" Zdefiniuj NIC_MAC_GW = "DE: Ad: BE: EF: 01: 01" Zdefiniuj Nic_IP = "192.168.1.12 "Zdefiniuj local_inetw = < 192.168.0.0/16 >Zdefiniuj local_inetwv6 = < fe80::/10 >Zdefiniuj dns_servers = < 1.1.1.1, 8.8.8.8 >Zdefiniuj ntp_servers = < time1.google.com, time2.google.com, time3.google.com, time4.google.com >Zdefiniuj dhcp_server = "192.168.1.1 " 

NFTABLES automatycznie mapuje nazwy protokołu sieciowego do numerów portów (e.G. HTTPS <> 443). W naszym przykładzie zezwalamy tylko na sesje przychodzące, które zainicjowaliśmy (ustanowione przez CT stan akceptacyjny) z efemerycznych portów (DPORT 32768-65535). Pamiętaj, że aplikacja lub serwer WWW powinien zezwolić na nowo inicjowane sesje (state.

Tabela IP Filtr < chain input < type filter hook input priority 0; policy drop; iifname "lo" accept iifname "lo" ip saddr != 127.0.0.0/8 drop iifname $NIC_NAME ip saddr 0.0.0.0/0 ip daddr $NIC_IP tcp sport < ssh, http, https, http-alt >TCP DPORT 32768-65535 CT Stan Ustanowienie Akceptuj IIfName $ NIC_NAME IP SADDR $ NTP_SERVERS IP DATDR $ NIC_IP UDP Sport NTP UDP DPORT 32768-65535 5535 CT Ustanowiony dziennik Akceptuj IifName $ NIC_NAME IP SADDR $ DNS_SERVERS IP DATDR $ NIC_IP UDP Domena UDP DPORD 32768-65535 CT Stan Ustanowienie Akceptuj IIFName $ NIC_NAME < type filter hook output priority 0; policy drop; oifname "lo" accept oifname "lo" ip daddr != 127.0.0.0/8 drop oifname $NIC_NAME ip daddr 0.0.0.0/0 ip saddr $NIC_IP tcp dport < ssh, http, https, http-alt >tcp sport 32768-65535 ct state new,established accept oifname $NIC_NAME ip daddr $NTP_SERVERS ip saddr $NIC_IP udp dport ntp udp sport 32768-65535 ct state new,established accept oifname $NIC_NAME ip daddr $DHCP_SERVER ip saddr $NIC_IP udp dport bootpc udp sport 32768-65535 ct state new,established log accept oifname $NIC_NAME ip daddr $DNS_SERVERS ip saddr $NIC_IP udp dport domain udp sport 32768-65535 ct state new,established accept oifname $NIC_NAME ip daddr $LOCAL_INETW ip saddr $NIC_IP icmp type echo-request ct state new,established accept > chain forward < type filter hook forward priority 0; policy drop; >> 

Kolejny blok kodu służy do blokowania ruchu przychodzącego i wychodzącego IPv6, z wyjątkiem żądań ping (ICMPV6 typu echo-odpornego) i odkrywania sieci IPv6 (ND-ROUTER-ADVERT, ND-NEAIGHBOR-SOLITIT, ND-NEAIGHBORO-ADVERT). VNICS są często automatycznie dostarczane za pomocą adresów IPv6 i pozostają nietknięte. Te interfejsy mogą być wykorzystywane przez złośliwe jednostki do tunelowania poufnych danych lub nawet skorupy.

Tabela Filtr IP6 < chain input < type filter hook input priority 0; policy drop; iifname "lo" accept iifname "lo" ip6 saddr != ::1/128 drop iifname $NIC_NAME ip6 saddr $LOCAL_INETWv6 icmpv6 type < destination-unreachable, packet-too-big, time-exceeded, parameter-problem, echo-reply, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert >Ustanowiony stan CT Akceptuj> wyjście łańcuchowe < type filter hook output priority 0; policy drop; oifname "lo" accept oifname "lo" ip6 daddr != ::1/128 drop oifname $NIC_NAME ip6 daddr $LOCAL_INETWv6 icmpv6 type echo-request ct state new,established accept >łańcuch naprzód < type filter hook forward priority 0; policy drop; >> 

Ostatni blok kodu służy do ruchu ARP, który ogranicza ramki sieciowe ARP:

Tabela Filtr ARP < chain input < type filter hook input priority 0; policy accept; iif $NIC_NAME limit rate 1/second burst 2 packets accept >Wyjście łańcucha < type filter hook output priority 0; policy accept; >> 

$ sudo systemctl restartuj nftables && SystemCtl Status NFTables && NFT List RegułTet 

Rozważania

Upewnij się, że testowanie portów są naprawdę otwarte lub zamknięte. Możesz do tego użyć NC, Telnet lub TCPDUMP.

NFTables może rejestrować akcje w/var/log/syslog . Powinieneś wykorzystać RSYSLOG do przesyłania dzienników do swojego ulubionego rozwiązania SIEM, aby uzyskać lepsze pojęcie swojej sieci.

Z odpowiednim szkieletem NFTables ułatwia życie inżynierom DevOps zastosowanie zapór mikro segmentacji. Inżynierowie DevOps mogą dostarczyć modułowe reguły zapory ogniowej hostom opartym na systemie Linux za pomocą narzędzia do zarządzania konfiguracją, takiego jak Ansible. Te reguły reguł zapory są następnie wypychane i ładowane na podstawie podstawowej funkcji maszyny wirtualnej lub kontenera. Na przykład serwery bazy danych powinny rozmawiać tylko z ograniczonym podzbiorem serwerów internetowych. Ten sposób zapewnienia zasad zapory na poziomie gospodarza powinien zmniejszyć powierzchnię ataku na ruch boczny przez złośliwego aktora.

Ten post na blogu tylko poruszał podstawowe możliwości zapory NFTABLES. Sprawdź stronę Wiki NFTables, aby uzyskać więcej technik zapory. Pamiętaj, że jedno rozwiązanie zapory niekoniecznie zastępuje inne. Spójrz także w zaporę Edge, jeśli nie masz domeny sieci zerowej.

Dyskusja i pytania

banner_cryptsus

Copyright 2019 – 2023 Cryptsus. Wszelkie prawa zastrzeżone.

Kod jest pod nową licencją Berkeley Software Distribution (BSD), ponieważ zależy nam na budowaniu bardziej otwartego świata.