nftables
OpenWRT에서 포트 스캔 방지
인터넷 라우터에서 포트를 열어야 하지만 해당 포트가 쉽게 검색되거나 열거되는 것을 원하지 않는다고 가정해 보세요. 해커/회사가 열린 포트를 스캔하는 것을 방지하는 방법은 무엇입니까? ...
nftables
nftables
nftables 로그에 사용자 또는 프로세스 정보 추가
여기요, 더 많은 정보를 추가하기 위해 nftables 로그를 사용자 정의할 수 있습니까? 예를 들어 사용자(id, gid...) 또는 출력을 시도하는 프로세스에 대한 정보를 얻는 것이 흥미로울 수 있습니다. 클래식 로그 예: IN= OUT=ens18 SRC=192.168.1.2 DST=8.8.8.8 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=64026 DF PROTO=TCP SPT=51096 DPT=8888 WINDOW=64240 RES=0x00 SYN URGP=0 인사 ...
nftables
nftables에서 명명된 ICMP 유형 세트 선언 및 사용
unamed set다음은 현재 ICMP 유형을 사용하는 방법에 대한 실제 예입니다. #!/usr/sbin/nft -f add table filter_4 add chain filter_4 icmp_out_4 { comment "Output ICMPv4 traffic" } define response_icmp_4 = { 0, # Echo Reply 3, # Destination Unreachable 10, # Router Solicitation 11, # Time...
![masquerade의 사용법과 의미 [to :PORT_SPEC]](https://linux55.com/image/230776/masquerade%EC%9D%98%20%EC%82%AC%EC%9A%A9%EB%B2%95%EA%B3%BC%20%EC%9D%98%EB%AF%B8%20%5Bto%20%3APORT_SPEC%5D.png)
nftables
masquerade의 사용법과 의미 [to :PORT_SPEC]
nftables다음은 가상 머신에서 LAN으로 IP를 스푸핑하는 2개의 샘플 NAT 규칙이 포함된 관련 샘플 규칙 세트입니다 . #!/usr/sbin/nft -f add table nat_4 # Sees all packets after routing, just before they leave the local system add chain nat_4 postrouting_nat_4 { type nat hook postrouting priority srcnat; policy accept; ...
nftables
Natables 라우팅 결정 단계
아래 링크는 크로스체인 패킷 흐름을 설명하는 이미지입니다.nftables 웹 필터 후크 한 가지 빼고는 다 이해합니다. 이미지에서는 현재 단계가 무엇인지 알 수 없습니다 routing decision. 이미지에 따르면 이 작업은 두 곳에서 수행되어야 합니다. 후크 후 , prerouting전과 input전forward output패킷이 localhost 프로세스를 떠날 때 후크하기 전에 위의 첫 번째 지점은 그 뒤에 2개의 가능한 후크가 있으므로 의미가 있지만 prerouting지점 2의 경우 유...
nftables
nftables의 테이블 선언 범위 외부에 ct 도우미 개체를 선언합니다.
ct helper다음은 현재 객체가 선언되는 방법에 대한 실제 예입니다.nftables 문서 #!/usr/sbin/nft -f add table filter_4 { # TODO: Can helper object be declared outside the scope of table declaration scope? # ct helper stateful object # "ftp-standard" is the name of this ct helper stateful object ...
nftables
nft 규칙 세트가 내 인터넷을 비활성화합니다. 이유는 무엇입니까?
nftWireguard는 내 인터넷을 손상시키는 다음 규칙을 만들고 있습니다 . ~$ sudo nft list ruleset table ip wg-quick-wg0 { chain preraw { type filter hook prerouting priority raw; policy accept; iifname != "wg0" ip daddr 192.168.2.100 fib saddr type != local drop ...
nftables
nftables 우선순위 필터: 그게 무슨 뜻인가요?
nftables wiki는 우선순위를 설명합니다.여기. 분명히 우선순위는 -10, 0, 10과 같은 숫자 값입니다. Red Hat nftables 문서도 동일한 작업을 수행합니다. 다음 몇 페이지의 예에서 우선순위는 여전히 숫자입니다. 하지만 다른 곳에서는여기filter, 다음 예에서와 같이 숫자 우선순위가 명백히 의미가 없게 됩니다 . % nft list ruleset table inet filter { chain input { type filter hook input priority fi...
nftables
nftables 규칙은 분명히 ssh 트래픽을 차단하고 있습니다. 아마도 특수 문자일까요?
다음과 같은 형식의 nftable 규칙 세트가 있습니다. chain INPUT { type filter hook input priority filter; policy drop; ip saddr 11.37.79.97/29 counter packets 0 bytes 0 log prefix "'**A Log Prefix**'" ct state established,related counter packets 70 bytes 12769 accept ...
nftables
nftables: HTTP 트래픽을 NAT 뒤의 상자로 전달
게이트웨이로 데비안 시스템이 있습니다. 내 nftables.conf는 매우 간단합니다. #!/usr/sbin/nft -f flush ruleset table inet filter { chain input { type filter hook input priority filter; } chain forward { type filter hook forward priority filter; ...
nftables
nftables는 기본적으로 포트 22 또는 다른 포트를 허용합니까?
새로운 Debian 12(AWS EC2)에 nftables를 설치했습니다. 포트 22/tcp를 통해 인스턴스(외부 EC2 IP)에 연결합니다. EC2를 언급한 이유는 EC2가 이상한 트릭을 수행할 수도 있기 때문입니다. 그런 다음 nftable을 설치했습니다. sudo apt install nftables sudo systemctl enable nftables sudo systemctl start nftables 현재 구성은 비어 있습니다. flush ruleset ...
nftables
nftables - 멀티캐스트 패킷 불일치
나는 다음과 같이 멀티캐스트 패킷을 일치시키는 규칙을 설정했습니다. add rule filter_4 new_out_4 meta pkttype multicast goto multicast_out_4 filter_4이는 IPv4 테이블이자 new_out4출력 체인이며 multicast_out_4순수 멀티캐스트 트래픽을 처리하는 체인입니다. 관련 없는 부분을 제외한 IPv4 테이블의 전체 그림은 다음과 같습니다. #!/usr/sbin/nft -f add table filter_4 add chain f...
nftables
SNI 필터링에 nftables v1.0.8을 사용하는 방법은 무엇입니까?
예: 교실을 허용하고 YouTube 공유 IP를 차단합니다. dig www.youtube.com +short | grep "$(dig classroom.google.com +short)" 142.251.32.78 https://serverfault.com/questions/988309/filter-on-bytes-in-udp-payload-using-nftables#988614 그리고 https://blog.cloudflare.com/programmable-packet-filtering-with-m...
nftables
arptable은 nmap과 함께 사용할 수 없습니다
내 노트북에서 네트워크 검색을 방지하는 방법을 구현하려고 합니다. 내가 원하는 한 가지는 특정 호스트(예: 내 게이트웨이)에 대한 arp 요청을 허용하는 것입니다. arptable을 사용하여 몇 가지 규칙을 추가했는데 (처음에는) 제대로 작동하는 것 같았습니다. arptables -A OUTPUT -d 192.168.1.30 -j DROP arptables -A INPUT -s 192.168.1.30 -j DROP 이는 호스트에 대한 arp 요청을 효과적으로 차단합니다. 내가 실행하면 : tcp...
nftables
ksoftirqd는 debian 12로 마이그레이션한 이후 많은 CPU를 사용하고 있습니다.
나는 Intel nuc Dualatom과 같은 작은 PC Linux 상자를 가지고 있는데, 여기에서 방화벽 설정을 실행합니다. 이전에 이 컴퓨터는 debian 9를 실행하고 있었고 모든 것이 괜찮았습니다. 나는 이 기계를 2개의 다른 기계 사이에서 사용하여 약 50-70MB/s 전송 속도(기가비트 이더넷)의 매우 빠른 속도로 데이터를 보낼 수 있습니다. 이제 설정을 debian 12로 옮긴 이후 속도가 9-10MB/s로 떨어졌습니다. 답을 찾아보니 ksoftirqd가 많은 CPU를 사용하고 있는 것으...