Начинаем работу с nf_tables
ฝัง
- เผยแพร่เมื่อ 27 ส.ค. 2024
- В этом видео рассмотрим новый подход к обеспечению сетевой безопасности linux. Расскажем, как работает фильтрация пакетов, основанная на правилах nf_tables.
Этот канал посвящён теме поддержки сайтов: от технических аспектов системного администрирования до вопросов экономической эффективности технологий.
Занимаясь комплексной поддержкой сайтов более 16 лет, мы накопили значительный опыт, которым готовы делиться с помощью наших видео. Так что присоединяйтесь, будет интересно!
Профессиональная поддержка сайтов: www.methodlab....
Тестирование скорости сайтов: xn--80aanaoicz...--p1ai/
Сервис оптимизации картинок: www.fotorubka.ru/
Наш второй канал "Ускорение сайтов": / @nicklavlinsky
Группа "Ускорение сайтов" в VK: sitespe...
Метод Лаб в VK: methodlab
Метод Лаб в Facebook: / methodlab.ru
Очень здорово доносите и понятно объясняете материал, спасибо!
Расскажите про NAT (source, destination, masquarade) в nft.
Можно вас попросить делать шрифт на терминале чуточку побольше в видео, при просмотреть с телефонов не особо хорошо читаются команды.
Очень благодарен за материал, как раз искал по nft информацию, удачно попал на новое видео!
Приятно слушать, продолжайте 🤝
Спасибо!
Никак в голове не сложится все это. А что за таблицы выводит команда ip rule?
Да очень интересно. Пожалуйста сделайте более подробные видео как делали по iptables
А что конкретно вас интересует в подробностях?
@@site_support конечно же nat, редирект портов и тд
спасибо, хорошая база
расскажите про блок "priority" , не до конца понял, какие значение что у него значат
супер. да кстати надобы нат маскарад ну и всякие манглы
Хорошо, посмотрим.
Спасибо, всё чётко и понятно.
Скажите пожалуйста, а почему для ipv6 вы никаких правил не прописывали?
Разве с ipv6 адресов не может приходить запросов?
IPv6 не используется в этом случае. Но можно все те же правила сделать в family inet, а не ip и они будут работать на любой версии IP.
Скажите, а в nft порядок правил имеет такое же значение, как в iptables? Пакеты так же ходят? Правила с established рекомендуется в начало ставить? Я смотрю, вы не стали этого делать.
Порядок правил имеет значение. Надо ли established ставить в начало зависит от особенностей трафика.
Спасибо.
Подскажите, на видео сервис nftables находится в режиме inactive, но при этом в правилах счетчик пакетов на ssh работает. Как это возможно?
Сервис всего лишь занимается восстановлением правил при загрузке, более ни за что он не отвечает.
норм. только не понял -> получается надо так же output тоже сделать и туда тоже правил навалить.
и про сэты к сожалению нет инфы. по типу как в ipset.
в целом полезная инфа, спасибо.
Можно OUTPUT не ограничивать, тогда правила там не нужны. Если хотите полный контроль, то да - настаивайте правила, симметрично с INPUT.
По сетам есть инфа: wiki.nftables.org/wiki-nftables/index.php/Sets
@@site_support благодарю
Ужасно интересно!
Спасибо, как раз на Debian 11 перешёл, и вот те на, "iptables command not found", ушла эпоха :D а даунгрейдить неохота.
Только вот вместо nft кажется пора уже bpfilter изучать)
lpc.events/event/11/contributions/940/attachments/836/1644/bpfilter.pdf#page=25
Насколько я понял, использование BPF для фильтрации пакетов это сложнее, чем через nft. Больше подходит для каких-то критичных ситуаций.