Início / unix / Perguntas / 666995
Accepted
Binarus
Asked: 2021-09-01 02:04:33 +0800 CST

Quais tipos de cadeia são suportados pela família nftables NETDEV?

  • 772

Da referência rápida do nftables :

family refere-se a um dos seguintes tipos de tabela: ip, arp, ip6, bridge, inet, netdev.

e

type refere-se ao tipo de cadeia a ser criada. Os tipos possíveis são:

filter: Suportado por famílias de tabelas arp, bridge, ip, ip6 e inet.
route: Marca pacotes (como mangle para o gancho de saída, para outros ganchos use o filtro de tipo), suportado por ip e ip6.
nat: Para realizar a tradução de endereços de rede, suportada por ip e ip6.

De outro documento que explica como configurar chains :

Os tipos de cadeia possíveis são:

filtro, que é usado para filtrar pacotes. Isso é suportado pelas famílias de tabelas arp, bridge, ip, ip6 e inet.

route, que é usado para redirecionar pacotes se algum campo de cabeçalho IP relevante ou a marca de pacote for modificado. Se você estiver familiarizado com iptables, esse tipo de cadeia fornece semântica equivalente à tabela mangle, mas apenas para o gancho de saída (para outros ganchos, use filtro de tipo). Isso é suportado pelas famílias de tabelas ip, ip6 e inet.

nat, que é usado para realizar a tradução de endereços de rede (NAT). Apenas o primeiro pacote de um determinado fluxo atinge essa cadeia; os pacotes subseqüentes o ignoram. Portanto, nunca use essa cadeia para filtragem. O tipo de cadeia nat é suportado pelas famílias de tabelas ip, ip6 e inet.

Assim, de acordo com pelo menos duas referências autorizadas, nenhum tipo de cadeia é suportado pela netdevfamília. Diante disso, como podemos usar a netdevfamília?

firewall netfilter

1 respostas

  1. Best Answer

    Eu sou novo, mas também estou interessado em regras nftables. Eu encontrei no wiki do nftables: "O principal (somente?) uso para esta família (netdev) é para cadeias de base usando o gancho de entrada, novo no kernel Linux 4.2." Mais informações aqui, no final do artigo: https://wiki.nftables.org/wiki-nftables/index.php/Nftables_families

    O gancho de entrada permite filtrar o tráfego L2. Ele vem antes do pré-roteamento, depois que o pacote é passado do driver NIC. Isso significa que você pode aplicar políticas de filtragem muito cedo. Essa localização inicial no caminho do pacote é ideal para descartar pacotes associados a ataques DDoS. Ao adicionar uma cadeia no gancho de ingresso, é obrigatório especificar o dispositivo onde a cadeia será anexada

    Fonte: https://www.datapacket.com/blog/securing-your-server-with-nftables

    Como especificar o dispositivo pode ser encontrado aqui: Como usar a variável para o nome do dispositivo ao declarar uma cadeia para usar o gancho de entrada (netdev)?

    • 2

relate perguntas