Разрешить ping и apt update с сервера через nftables

0

1

Доброго всем времени суток!

На борту debian buster + nftables. По умолчанию в debian политика accept на всё, решил попараноить немного. Разрешил пинг до сервера и ssh на него, и оное работает как часы. Набор правил:

table ip IPv4 { # handle 2
	chain INCOMING { # handle 1
		type filter hook input priority 0; policy drop;
		iif "lo" accept # handle 5
		tcp dport ssh accept # handle 6
		icmp type echo-request accept # handle 7
	}

	chain FORWARDING { # handle 2
		type filter hook forward priority 0; policy drop;
	}

	chain OUTGOING { # handle 3
		type filter hook output priority 0; policy accept;
	}
}
table ip6 IPv6 { # handle 3
	chain INCOMING { # handle 1
		type filter hook input priority 0; policy drop;
	}

	chain FORWARDING { # handle 2
		type filter hook forward priority 0; policy drop;
	}

	chain OUTGOING { # handle 3
		type filter hook output priority 0; policy accept;
	}
}

… Но, как оказалось, не всё как часы работает. С сервера не могу ничего пропинговать, а также не могу пакеты установить/обновить.
Может, туплю с утреца.

Ссылка

←	не форвардит да и вообще IPv6

AgeStar NAS WNS23

→

Может, туплю с утреца.

Сделать nft list table ... и проверить какие правила на самом деле работают.

vvn_black ★★★★★
(12.08.21 09:40:30 MSK)

Ответ на: комментарий от vvn_black 12.08.21 09:40:30 MSK

А какая разница?

Ну выведу я отдельно правила для таблицы IPv4:

table ip IPv4 { # handle 2
	chain INCOMING { # handle 1
		type filter hook input priority 0; policy drop;
		iif "lo" accept # handle 5
		tcp dport ssh accept # handle 6
		icmp type echo-request accept # handle 7
		tcp dport { http, https } accept # handle 8
	}

	chain FORWARDING { # handle 2
		type filter hook forward priority 0; policy drop;
	}

	chain OUTGOING { # handle 3
		type filter hook output priority 0; policy accept;
	}
}

Или выведу отдельно для цепочки ip IPv4 INCOMING:

table ip IPv4 {
	chain INCOMING { # handle 1
		type filter hook input priority 0; policy drop;
		iif "lo" accept # handle 5
		tcp dport ssh accept # handle 6
		icmp type echo-request accept # handle 7
		tcp dport { http, https } accept # handle 8
	}
}

Вы же все потом на меня гнать будете, что не дал список полный из всех правил всех таблиц. )

~~speed_vm~~ ★
(12.08.21 09:48:30 MSK) автор топика

кроме echo-request, есть ещё какбы и echo-reply

upd. Совсем по хорошему, так и ещё больше

SkyMaverick ★★★★★
(12.08.21 09:53:29 MSK)
Последнее исправление: SkyMaverick 12.08.21 09:54:37 MSK (всего исправлений: 1)

Ответ на: комментарий от SkyMaverick 12.08.21 09:53:29 MSK

ТОЧНЯК-ВЕРНЯК, братуха!
Осталось, туды его в качель, починить установку/обновление пакетов.

~~speed_vm~~ ★
(12.08.21 09:55:43 MSK) автор топика

Ссылка

Ответ на: комментарий от SkyMaverick 12.08.21 09:53:29 MSK

icmp type { echo-reply, echo-request } accept # handle 7

Так в итоге нужно было для пингов.

~~speed_vm~~ ★
(12.08.21 10:00:34 MSK) автор топика

Ссылка

Ответ на: комментарий от speed_vm 12.08.21 09:48:30 MSK

А какая разница?

Такая, чтобы не гадать и быть уверенным, что реальные правила соответствуют конфигу.

А почему нет:

ct state established,related accept

vvn_black ★★★★★
(12.08.21 10:02:20 MSK)

Ответ на: комментарий от vvn_black 12.08.21 10:02:20 MSK

Так это не из конфига выдержки я постил, а вывод реальных команд.

~~speed_vm~~ ★
(12.08.21 10:03:28 MSK) автор топика

Ответ на: комментарий от speed_vm 12.08.21 10:03:28 MSK

Так это не из конфига выдержки я постил, а вывод реальных команд.

THUMBS UP

vvn_black ★★★★★
(12.08.21 10:04:59 MSK)

Ссылка

Ответ на: комментарий от vvn_black 12.08.21 10:02:20 MSK

С этой фиговиной действительно echo-reply не нужен…

~~speed_vm~~ ★
(12.08.21 10:06:41 MSK) автор топика

Ответ на: комментарий от speed_vm 12.08.21 10:03:28 MSK

Ты же в курсе что в выводе nft list * не отображаются комментарии через #?

Valar
(12.08.21 10:08:42 MSK)

Ответ на: комментарий от speed_vm 12.08.21 10:06:41 MSK

Потому что это ЕМНИП как-раз относится к related

SkyMaverick ★★★★★
(12.08.21 10:10:29 MSK)

Ссылка

Ответ на: комментарий от Valar 12.08.21 10:08:42 MSK

Ну, думаю, что ты тоже в курсе, что # handle .. - это не комментарий, а номер правила, который водится если добавить к nft list … -a. ;)

~~speed_vm~~ ★
(12.08.21 10:11:30 MSK) автор топика

Ответ на: комментарий от speed_vm 12.08.21 10:11:30 MSK

A hash sign (#) begins a comment. All following characters on the same line are ignored.

man nft

Больше не ври так бессовестно.

Valar
(12.08.21 10:15:33 MSK)

Ответ на: комментарий от Valar 12.08.21 10:15:33 MSK

Ты серьёзно?

$ sudo nft list chain ip IPv4 INCOMING -a
table ip IPv4 {
	chain INCOMING { # handle 1
		type filter hook input priority 0; policy drop;
		iif "lo" accept # handle 5
		tcp dport ssh accept # handle 6
		icmp type echo-request accept # handle 7
		ct state established,related accept # handle 9
	}
}

Выдержка из мана - это конечно круто, но я тоже как бы не пальцем сделан.

~~speed_vm~~ ★
(12.08.21 10:17:13 MSK) автор топика
Последнее исправление: speed_vm 12.08.21 10:28:19 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Valar 12.08.21 10:15:33 MSK

$ cat /etc/*release*
PRETTY_NAME="Debian GNU/Linux 10 (buster)"
NAME="Debian GNU/Linux"
VERSION_ID="10"
VERSION="10 (buster)"
VERSION_CODENAME=buster
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"

Может захочешь проверить.

~~speed_vm~~ ★
(12.08.21 10:18:05 MSK) автор топика

Ссылка

Ответ на: комментарий от speed_vm 12.08.21 10:06:41 MSK

С этой фиговиной действительно echo-reply не нужен…

А, где благодарность и раскаяние в том, что не читаешь wiki.nftables.org

vvn_black ★★★★★
(12.08.21 10:19:49 MSK)
Последнее исправление: vvn_black 12.08.21 10:20:08 MSK (всего исправлений: 1)

Ответ на: комментарий от vvn_black 12.08.21 10:19:49 MSK

А-а-а, каюсь-каюсь, стыдно-стыдно! Выражаю огромную благодарность всем присутствующим за помощь!

Итоговый набор правил без номеров (специально для Valar):

table ip IPv4 {
	chain INCOMING {
		type filter hook input priority 0; policy drop;
		iif "lo" accept
		tcp dport ssh accept
		icmp type echo-request accept
		ct state established,related accept
	}
}

~~speed_vm~~ ★
(12.08.21 10:28:06 MSK) автор топика

Ответ на: комментарий от speed_vm 12.08.21 10:28:06 MSK

Всегда считал, что icmp трафик нужен не для ping (в первую очередь) а для обмена служебной информацией, на вроде фрагментации и т.д. - Блокировать icmp, насколько мне представляется, не лучшее решение.

DALDON ★★★★★
(12.08.21 14:05:17 MSK)
Последнее исправление: DALDON 12.08.21 14:08:56 MSK (всего исправлений: 3)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	не форвардит да и вообще IPv6

Admin

AgeStar NAS WNS23

→

Похожие темы