ich versuche nun seit Tagen mich ein wenig in die "nftables" Thematik einzuarbeiten in der Hoffnung, eine Art "Grundkonfiguration" zu erstellen, sprich eine conf Datei die man direkt bei Neuinstallation von Keyhelp (für Server mit öffentlicher IP) nutzen kann und die alle mit Keyhelp installierten Dienste (+ SSH) erstmal grundlegend abdeckt. Mal abgesehen davon das ich nicht wirklich viel Ahnung von Firewalls habe (Grundverständniss der Funktionsweise ja, danach wirds düster) sind auch die Informationen teilweise so kryptisch für den Laien das ich nicht wirklich dahinter steige. Ich bin mit der Forumssuche auch über diesen
Thread gestolpert aber ich wollte nun nix kopieren wenn ich nicht weiss ob das auf meinen Fall auch zutrifft
Mein "Flickwerk" sieht mittlerweile so aus
Code: Select all
#!/usr/sbin/nft -f
flush ruleset
table inet filter {
chain input {
type filter hook input priority 0;
# allow from loopback
iifname lo accept;
# established/related connections
ct state established,related accept;
# invalid connections
ct state invalid drop;
# no ping floods
ip6 nexthdr icmpv6 icmpv6 type echo-request limit rate 2/second accept;
ip protocol icmp icmp type echo-request limit rate 2/second accept;
tcp dport ssh ip saddr MEINEIP accept;
tcp dport {http, https, ftp, smtp, pop3, pop3s, imap, imaps} accept;
policy drop;
}
chain forward {
type filter hook forward priority 0;
}
chain output {
type filter hook output priority 0;
}
}
Denke ihr kennt euch hier viel besser aus als ich - wäre echt dankbar für eure Unterstützung
(nf_conntrack und nf_conntrack_ftp habe ich bereits aktiviert - gibt es hier sonst noch etwas spezielles was ich wissen sollte?)