Új hozzászólás Aktív témák

• Shyciii veterán

  #8601

  #8600 Siriusb

  2022-10-25 15:38:43

  Új Válasz

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  Shyciii

  veterán

  #8600 Siriusb

  #8600 Siriusb

  Köszönöm!

  Arch-on így néz ki az alapbeállítás:
  ❯ cat /etc/nftables.conf
#!/usr/bin/nft -f
# vim:set ts=2 sw=2 et:

# IPv4/IPv6 Simple & Safe firewall ruleset.
# More examples in /usr/share/nftables/ and /usr/share/doc/nftables/examples/.

table inet filter
delete table inet filter
table inet filter {
 chain input {
   type filter hook input priority filter
   policy drop

   ct state invalid drop comment "early drop of invalid connections"
   ct state {established, related} accept comment "allow tracked connections"
   iifname lo accept comment "allow from loopback"
   ip protocol icmp accept comment "allow icmp"
   meta l4proto ipv6-icmp accept comment "allow icmp v6"
   tcp dport ssh accept comment "allow sshd"
   pkttype host limit rate 5/second counter reject with icmpx type admin-prohibited
   counter
 }
 chain forward {
   type filter hook forward priority filter
   policy drop
 }
}
  

  pacman -S nftables után ilyen bejegyzések vannak alapból az nftables.conf -ban?
  Nah ezt nem gondoltam volna. Mindenesetre több furcsaságot látok benne. Egyrészt a sorrenddel nemigen értek egyet. Másrészt ha ez az alap config, akkor azért igen bátor a default ssh portot megnyitni úgy, hogy az illető nem is biztos hogy szeretne ssh-zni. Ugyanez az icmp-vel. Ezzel az összes icmp csomagot engedi, nem csak a pinget, de szabály már nincs rá, hogy mennyit enged másodpercenként. Hát...

Új hozzászólás Aktív témák