NFtables

NFtables (Nachfolge Projekt von IPtables)
"lynx http://wiki.nftables.org/"

Prerequirements

ncurses:
	"wget http://ftp.gnu.org/pub/gnu/ncurses/ncurses-6.3.tar.gz"
	"tar -xvzf ncurses-5.6.tar.gz"
	"cd ncurses-5.6"
	Bei SUSE "./configure --bindir=/usr/bin --sbindir=/usr/sbin --libdir=/usr/lib64 --includedir=/usr/include"
	"./configure" oder bei Debian "./configure -–bindir=/usr/bin -–sbindir=/usr/sbin -–libdir=/usr/lib –includedir=/usr/include"
	"make"
	"make install"
	"ncurses6-config --version"
	"ncurses5-config --version"
	
readline
	"ftp://ftp.gnu.org/gnu/readline/readline-6.3.tar.gz" oder "http://git.savannah.gnu.org/cgit/readline.git/snapshot/readline-master.tar.gz"
	"tar -xf readline-master.tar.gz"
	"cd readline-master"
	"./configure --bindir=/usr/bin --sbindir=/usr/sbin --libdir=/usr/lib64 --includedir=/usr/include"
	"make"
	"make install"	
	
libmnl:
	"wget http://netfilter.org/projects/libmnl/files/libmnl-1.0.3.tar.bz2"
	"tar -xf libmnl-1.0.3.tar.bz2"
	"cd libmnl-1.0.3"
	"./configure --bindir=/usr/bin --sbindir=/usr/sbin --libdir=/usr/lib64 --includedir=/usr/include"
	Debian "./configure --bindir=/usr/bin --sbindir=/usr/sbin --libdir=/usr/lib --includedir=/usr/include"
	"make"
	"make install"

libnftnl:
	"wget http://www.netfilter.org/projects/libnftnl/files/libnftnl-1.0.5.tar.bz2"
	"tar -xf libnftnl-1.0.5.tar.bz2"
	"cd libnftnl-1.0.5"
	"./configure --bindir=/usr/bin --sbindir=/usr/sbin --libdir=/usr/lib64 --includedir=/usr/include"
	"make"
	"make install"

###############	
nftables:
"wget http://www.netfilter.org/projects/nftables/files/nftables-0.5.tar.bz2"
"tar -xf nftables-0.5.tar.bz2"
"cd nftables-0.5/"
Ab NFtables 0.5 gibt es Proble mit dem "configure" File. Lösung:
	"sed 's/\-lreadline/\-lreadline \-lncurses/g' configure > newconfigure"
	"mv configure configure.bak ; mv newconfigure configure"
"./configure --bindir=/usr/bin --sbindir=/usr/sbin --libdir=/usr/lib64 --includedir=/usr/include"
"make"
"make install"
"nft --version"

##################################
Erste Schritte

"nft add table filter" = Filter hinzufügen
"nft -f files/nftables/ipv4-filter" 
"nft list table filter" = Filter anzeigen
	"nft list table filter -n  -a"
"nft add rule ip filter output  ip daddr 1.2.3.4 drop" = IP outbound droppen
"nft flush table filter" = Filter flushen
"nft delete chain ip foo input" = Filterkette löschen.
"cat /proc/net/netfilter/nf_log" = Logging Gruppe anzeigen
"nft -i" = interactive mode bzw. nft shell

####################
Synatx Aufbau im Vergelich zu IPtables

- iptables -A FORWARD -p tcp --dport 22 -j LOG 
- iptables -A FORWARD -p tcp --dport 22 -j DROP

- nft add rule filter forward tcp dport 22 log drop 
##############
NAT
"nft add table nat"
"nft list table nat -n  -a"

##############
Ruleset 

##############
Logging
Logs laden auch hier bei SuSE unter /var/log/firewal

##############
Connection tracking


########################################################################################################################################################################################
                                              Local process
                                               ^         |                 .-----------.
                    .-----------.              |         |                 |  Routing  |
                    |           |-----> input /           \---> output --->|  Decision |------
---> prerouting --->|  Routing  |                                          .-----------.      \
                    | Decision  |                                                              ---> postrouting --->
                    |           |                                                             /
                    |           |---------------> forward ------------------------------------
                    .-----------.
					
########################################################################################################################################################################################
					
					
					

Post Revisions:

Tags:  ,