我正在努力调整 fail2ban 的性能,我读到过长的禁令可能会导致规则的积累,从而对性能产生负面影响,这让我感到疑惑,“对于 nftables 来说,是否有任何特定的想法认为规则数量‘太高’?”
我目前使用以 nftables 为后端的firewalld,大概有 10-20 条规则。
但是,有些服务器是专门为某些国家/地区的用户设计的,不应在这些国家/地区之外访问。如果我下载一个国家/地区 IP 数据库(例如 MaxMind),然后为允许列表之外的国家/地区的所有 CIDR 生成规则列表,我最终会得到近 17,000 条规则。
一方面,规则很多(恕我直言),但另一方面,只有来自指定国家/地区以外的垃圾邮件和黑客攻击(即使是合法出国旅行的用户也需要通过 VPN 进入美国才能访问)。
这种数量会对 nftables 产生负面影响吗?我认为影响与需要检查的数量有关,但我还没有找到一个好方法来查看或衡量规则的影响,而且我不想在事先不知道可能产生的影响的情况下开始加载数千条规则。
我可以通过连接ssh到我的云服务器。由于下面的规则集,服务器拒绝 ssh 连接。
我不使用自定义 ssh 端口。服务器有一个 IPv6 地址,以防万一。如果我应用此规则集,我会得到相同的结果。
flush ruleset
table inet filter {
chain input {
type filter hook input priority 0; policy drop;
ct state { established, related } accept
tcp dport 22 accept
}
chain output {
type filter hook output priority 0; policy accept;
}
chain forward {
type filter hook forward priority filter; policy drop;
}
}
我设置了一条匹配多播数据包的规则,如下所示:
add rule filter_4 new_out_4 meta pkttype multicast goto multicast_out_4
filter_4是 IPv4 表,new_out4是输出链,multicast_out_4是处理纯组播流量的链。
以下是排除不相关部分的 IPv4 表的更完整图片:
#!/usr/sbin/nft -f
add table filter_4
add chain filter_4 output {
# filter = 0
type filter hook output priority filter; policy drop;
}
add chain filter_4 multicast_out_4 {
comment "Output multicast IPV4 traffic"
}
add chain filter_4 new_out_4 {
comment "New output IPv4 traffic"
}
#
# Stateful filtering
#
# Established IPv4 traffic
add rule filter_4 input ct state established goto established_in_4
add rule filter_4 output ct state established goto established_out_4
# Related IPv4 traffic
add rule filter_4 input ct state related goto related_in_4
add rule filter_4 output ct state related goto related_out_4
# New IPv4 traffic ( PACKET IS MATCHED HERE )
add rule filter_4 input ct state new goto new_in_4
add rule filter_4 output ct state new goto new_out_4
# Invalid IPv4 traffic
add rule filter_4 input ct state invalid log prefix "drop invalid_filter_in_4: " counter name invalid_filter_count_4 drop
add rule filter_4 output ct state invalid log prefix "drop invalid_filter_out_4: " counter name invalid_filter_count_4 drop
# Untracked IPv4 traffic
add rule filter_4 input ct state untracked log prefix "drop untracked_filter_in_4: " counter name untracked_filter_count_4 drop
add rule filter_4 output ct state untracked log prefix "drop untracked_filter_out_4: " counter name untracked_filter_count_4 drop
在上面的设置中,包括多播在内的新输出流量通过规则进行匹配add rule filter_4 output ct state new goto new_out_4
这是new_out_4仅包含不起作用的相关(非工作)多播规则的链:
# Multicast IPv4 traffic ( THIS RULE DOES NOT WORK, SEE LOG OUTPUT BELOW)
add rule filter_4 new_out_4 meta pkttype multicast goto multicast_out_4
#
# Default chain action ( MULTICAST PACKET IS DROPPED HERE )
#
add rule filter_4 new_out_4 log prefix "drop new_out_4: " counter name new_out_filter_count_4 drop
以下是日志中有关丢弃的多播数据包的内容:
删除new_out_4:IN = OUT = eth0 SRC = 192.168.1.100 DST = 224.0.0.251 LEN = 163 TOS = 0x00 PREC = 0x00 TTL = 255 ID = 27018 DF PROTO = UDP SPT = 5353 DPT = 5353 LEN = 143
被丢弃的数据包被发送到目标地址224.0.0.251,这是多播地址,它应该与new_out_4链中的多播规则匹配,并且应该由multicast_out_4链处理,但没有。
相反,数据包不匹配,并被上面链中的默认丢弃规则丢弃new_out_4,请参阅注释(默认链操作)。
显然这意味着组播规则不起作用。
为什么组播规则不起作用?
预期的:
meta pkttype multicast匹配目标地址224.0.0.251
编辑:
系统信息:
内核:6.5.0-0.deb12.4-amd64
与早期内核 6.1 存在相同的问题
nftables:v1.0.6(莱斯特·古奇#5)
我正在尝试在 MacOS (Ventura) 上启用 remotelogin。“sudo systemsetup -setremotelogin on”表示它已经启用(由 GUI 确认),但是如果我尝试从我的 Linux PC 登录,我会得到
% ssh [email protected]
ssh: connect to host 10.42.100.13 port 22: Connection timed out
系统应用防火墙和数据包过滤器都已被禁用(暂时)。“允许访问”已在首选项中设置为“所有用户”。在 Macbook 上使用 tcpdump 我看到了目标端口 22/tcp 的传入流量。Mac 没有回答。
Mac 本身上的“ssh localhost”或“ssh 10.42.100.13”没有问题。Mac 可以毫无问题地 ping 我的 Linux PC。
非常感谢每一个有用的提示。
当前系统:
我是新手,正在学习 nftables,这是我目前的 nft 规则集:
$sudo nft list ruleset taxmd-dh016d-02: Wed Sep 21 12:09:08 2022
table inet filter {
chain input {
type filter hook input priority filter; policy accept;
}
chain forward {
type filter hook forward priority filter; policy accept;
}
chain output {
type filter hook output priority filter; policy accept;
ip daddr 192.168.0.1 drop
}
}
我想ip daddr 192.168.0.1 drop从输出链中删除。我尝试了以下方法:
sudo nft del rule inet filter output ip daddr 192.168.0.1 drop
sudo nft delete rule inet filter output ip daddr
sudo nft 'delete element ip daddr 192.168.0.1 drop'
sudo nft 'delete element ip'
sudo nft delete rule filter output ip daddr 192.168.0.1 drop
但没有任何效果,我不断收到此错误:
Error: syntax error, unexpected inet
delete inet filter chain output ip daddr 192.168.0.1 drop
^^^^
为什么我不能删除特定元素?我认为这将是直截了当的,但我错过了一些东西。
我有以下内容nftables.conf:
table inet nat {
set blocked {
type ipv4_addr
}
chain postrouting {
type nat hook postrouting priority 100; policy accept;
ip daddr @blocked counter drop;
oifname "ppp0" masquerade;
iifname "br-3e4d90a574de" masquerade;
}
}
该集合blocked是一个可以动态更新的命名集合。正是在这个集合中,我希望有一个要阻止的 IP 集合,每n分钟更新一次。为了保持原子性,我没有使用以下 ( updateblock.sh) 来更新列表:
#!/bin/bash
sudo nft flush set inet nat blocked
sudo nft add element inet nat blocked {$nodes}
而是blockediplist.ruleset:
#!/usr/sbin/nft -f
flush set inet nat blocked
add element inet nat blocked { <example_ip> }
我使用以下命令顺序:
nft -f /etc/nftables.conf
nft -f blockediplist.ruleset
但是,更改blockediplist.ruleset不会立即应用。我知道规则集现在包含新 IP,因为 IP 存在于nft list ruleset和中nft list set inet nat blocked。即使只是这样,nft add element inet nat blocked { <IP> }IP 也不会立即被阻止。
另一种方法是定义一个新集合并重新加载nftables.conf整个集合,尽管我认为这将是一种糟糕且低效的做事方式。
有没有办法强制blockediplist.ruleset立即应用更改?
更新:我刚刚发现,当我阻止一个我没有 ping 过的 IP 时,它会立即被阻止。但是,在中间 ping 将 IP 添加到阻止列表时,需要一段时间才能被阻止。当我尝试使用netdev ingressIP 设置时,会立即被阻止。也许这种调查途径可能会揭示一些东西。
192.168.100.50通过接口连接到192.168.178.20互联网。wg0
wg0正在打开隧道10.102.242.1/24。
Wireguard 客户端界面具有10.102.242.2.
通过上的静态路由,192.168.100.1我可以使用从任何设备连接192.168.100.0/24到wireguard客户端ssh [email protected]
但我只能在我禁用ufwwireguard 服务器上的 时才能这样做。
我试图22在服务器的ufwfrom上打开端口anywhere,允许它on wg0,allow IN并且OUT. 但没有任何改变。
我对此有什么不明白的?
To Action From
-- ------ ----
51820/udp ALLOW Anywhere # allow-wireguard
22 ALLOW 192.168.100.0/24 # SSH
22 ALLOW Anywhere # SSH test
22 on wg0 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6) # SSH test
51820/udp (v6) ALLOW Anywhere (v6) # allow-wireguard
22 (v6) on wg0 ALLOW Anywhere (v6)
22 ALLOW OUT Anywhere on wg0
22 (v6) ALLOW OUT Anywhere (v6) on wg0
Anywhere on eth0 ALLOW FWD 10.102.242.0/24 on wg0
traceroute 192.168.178.20也表现出相同的行为。与ufw active:
traceroute to 192.168.178.20 (192.168.178.20), 64 hops max, 52 byte packets
1 192.168.100.1 (192.168.100.1) 2.824 ms 1.136 ms 1.016 ms
2 192.168.100.50 (192.168.100.50) 3.566 ms 1.557 ms 1.337 ms
3 *
它将ufw inactive立即连接:
8 * * *
9 * 192.168.178.20 (192.168.178.20) 20.973 ms 16.469 ms
我正在调试防火墙 .service 单元,出现了一些问题。
其中一个问题是该单位的最佳服务类型,无论是 exec 还是 oneshot。在我的搜索中几乎没有出现两者的比较,可能是因为 exec 是 systemd (v.249 IIRC) 的一个相对较新的添加。
作为背景,该单元(称为 iptables.service)旨在通过在网络启动之前(即network-pre.target 之前)运行 Bash 脚本(称为 iptables.sh)来激活和配置防火墙,例如,
ExecStart=/bin/bash -c '/home/locsh/iptables.sh'
Type=oneshot具有不进入“活动”状态的优点,因此它随后可以被重新启动或重新激活,例如,通过计时器单元。在大多数示例中,它也是这两种类型中更常见的一种,尽管没有解释。
type=exec的好处是会延迟后续单元的启动,直到主服务执行完毕。这似乎对防火墙 .service 单元非常有意义,因为网络应该依赖于成功运行的脚本并保持关闭,例如,如果由于某种原因相关的 .mount 单元尚未激活而暂时无法读取脚本.
在任何一种情况下, Restart=on-failure似乎都是一个明显而谨慎的补充。
第一个问题是,无论出于何种原因,其中一个是否会更好。
第二个问题是 Type=exec 是否会因为延迟后续单元的启动而在某些边缘情况下引入微妙的排序周期,无论是否有“Restart=on-failure”,部分原因是单元的排序依赖性
Before=network-pre.target
在引导过程中相对较早。
在与 qemu 客人玩耍时,我发现了一些非常奇怪的东西。如果我将系统防火墙设置为拒绝所有到我的网关的流量 ( 10.0.2.2),防火墙只会拒绝直接发往网关的流量。并非注定要10.0.2.2到达的流量似乎继续路由并流经网关,就好像规则根本不存在一样。
我从客人的角度理解它(10.0.2.15):
Packet{dest==10.0.2.0/24} 10.0.2.15 -x-> 10.0.2.2 (Rejected)
Packet{dest!=10.0.2.0/24} 10.0.2.15 <--> 10.0.2.2 <-> !=10.0.2.0/24 (Okay)
这与我的预期完全相反。我认为我缺少一些东西,但我不知道是什么。
这是我的设置:
ufw reject out to 10.0.2.0/24
ip route:
default via 10.0.2.2 dev ens3 proto dhcp metric 100
10.0.2.0/24 dev ens3 proto kernel scope link src 10.0.2.15 metric 100
iptables -S似乎是:
-A ufw-user-output -d 10.0.2.0/24 -j REJECT --reject-with icmp-port-unreachable
我想连接到远程计算机并在远程计算机上启动 Jupyter notebook。每次我尝试连接到 jupyter notebook 时都会出现错误。当我关闭防火墙时,jupyter notebook 工作。有没有办法不关闭防火墙并解决这个问题?
我的电脑有windows,远程电脑安装了ubuntu