Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- iptables [2021/11/14 22:50] – [Tabulky] uranusak
+++ iptables [2021/11/15 22:54] (aktuální) – [Jednoduchý firewall] uranusak
@@ Řádek 1: / Řádek 1: @@
 ====== nftables ======
+Aktivace nftables při startu
+  systemctl enable nftables.service
 Konfigurační soubor
@@ Řádek 15: / Řádek 18: @@
 Seznam tabulek
   nft list tables
+Přidat tabulku. Typy tabulek ip, ip6, inet (ip i ip6), arp a bridge.
+  nft add table ip nazev
 Smazat tabulku
-  nft delete table inet filter
+  nft delete table inet nazev
-Výpis určité tabulky. Typy tabulek ip, ip6, inet (ip i ip6), arp a bridge.
+Výpis určité tabulky.
-  nft list table inet filter
+  nft list table inet nazev
 ===== Řetězce =====
-Vytvoření nového řetězce (regular/base)
+Vytvoření/smazání nového řetězce (regular/base)
   nft add chain inet filter webfilter
+  nft delete chain inet filter webfilter
   nft add chain inet filter inputchain '{ type filter hook input priority 0; }'
-Příklady nastavení řetězců.
+===== Pravidla =====
-  nft add rule inet filter output ip daddr x.x.x.x reject
-  nft add rule inet filter output ip6 daddr x:x::x reject
+Přidat nové pravidlo.
+  nft add rule inet nazev_tabulky output ip daddr x.x.x.x reject
+  nft add rule inet nazev_tabulky ip6 daddr x:x::x drop
   nft add rule inet filter output ip daddr 8.8.8.8 counter
+===== Jednoduchý firewall =====
+<file - /etc/nftables.conf>
+flush ruleset
+table inet filter {
+        chain input {
+                type filter hook input priority 0; policy drop;
+                ct state established,related accept
+                iifname "lo" accept
+                icmp type echo-request accept
+        }
+        chain forward {
+                type filter hook forward priority 0; policy drop;
+        }
+        chain output {
+                type filter hook output priority 0; policy accept;
+        }
+}
+</file>
 ====== iptables ======
 [[https://wiki.debian.org/DebianFirewall]]\\