nftables (vyřešeno)

Zdravim, mam problem s najnovsim linuxackym nastrojom na filtrovanie sietovej prevadzky - nftables. Problem spociva v tom, ze ked zadam nejake pravidlo, system ho akceptuje, ale zmena sa neprejavi (napr. ked napisem pravidlo na zahadzovanie vsetkych odchadzajucich paketov s mojou IP adresou, stale mam pristup na internet). Neviem ci nemoze byt chyba v tom, ze mam v kerneli skompilovane zaroven iptables - ktore su plne funkcne. Skusal som za behu odstranit vsetky iptables moduly - nechal som iba moduly nftables, avsak ani po tomto kroku sa nftables "nesfunkcnili". Ak by mal niekto nejaky napad ako to spojazdnit, pripadne hocijake skusenosti s nftables, bol by som velmi povdacny. :)

Odpovědi

Je ten projekt stále podporován? Oficiální web zeje prázdnotou... ;-)

Linux Dokumentační Projekt - PDF ke stažení

4.5.2011 20:37 AccessDenied
Rozbalit Rozbalit vše Re: nftables

Myslim ze by mal byt, ale kazdopadne, alpha verzia by sa mala dat rozbehat. Aj na nete som vycital ze sa to nejakym ludom pravdepodobne podarilo.

pre kompletnost tohto threadu doplnim riesenie:

v primarnych chainoch je potrebne pridat klucove HOOKy, ktorymi sa povie, ze pakety vo vybranom smere prevadzky (input,output alebo filter) budu spracovavane prave tym chainom, v ktorom je uvedeny prislusny HOOK.

Priklad: chceme aby chaina my_input brala INPUT packety priamo z netfilter stacku

chain my_input {
  hook NF_INET_LOCAL_IN 0
  ...
}

preco sa to takto robi? dovod je ten, ze v nftables uz neexistuju pevne zakladne chainy INPUT, OUTPUT a FORWARD pre FILTER tabulku, ale si ich moze user vytvorit a pomenovat presne podla vlastnych predstav. No a pochopitelne aby plnili ucelu, musi sa povedat nejakym HOOKom ze prave oni maju spracovavat prislusnu sietovu prevadzku.

Este doplnok: pre output sa pouziva hook NF_INET_LOCAL_OUT a pre forward NF_INET_FORWARD.

Dotaz: nftables

Odpovědi