Ajuda Pra Melhoria do NFTABLES.

1. Ajuda Pra Melhoria do NFTABLES.

marcelogon
(usa Outra)

Enviado em 10/05/2025 - 16:37h

Eu uso este script abaixo no NFTABLES do debian server do meu homelab, mas queria deixar ele muito mais forte ainda, se possível que ficasse no mesmo nível do OPNSENSE. Se quiserem, me ajudem por favor, copie o meu script e já acrescentem na resposta, o que adicionar.

#!/usr/sbin/nft -f



flush ruleset



table inet filter {

        chain input {

                type filter hook input priority filter;

                iifname lo accept

                ct state invalid drop;

                ct state established,related accept;

                ip protocol icmp limit rate 1/second accept

                tcp dport 22 accept

                udp dport 53 accept

                tcp dport 80 accept

                tcp dport 81 accept

                tcp dport 443 accept

          

        }



        chain forward {

                type filter hook forward priority filter; policy accept;

        }



        chain output {

                type filter hook output priority filter; policy accept;

        }

}

table ip nat {

        chain postrouting {

                type nat hook postrouting priority 100;

                policy accept;

                oif "enp1s0" masquerade

        }

}

0 0

Quote

2. Re: Ajuda Pra Melhoria do NFTABLES.

Buckminster
(usa Debian)

Enviado em 11/05/2025 - 02:14h

#!/usr/sbin/nft -f



flush ruleset



table inet filter {

    chain input {

        type filter hook input priority filter; policy drop;



        # Permitir tráfego local (loopback)

        iifname "lo" accept



        # Descartar conexões inválidas

        ct state invalid drop



        # Permitir conexões estabelecidas e relacionadas

        ct state established,related accept



        # Permitir ICMP (ajustado para diagnóstico básico)

        ip protocol icmp accept

        ip6 nexthdr icmpv6 accept



        # Permitir portas de serviços específicos (ajuste conforme necessário)

        tcp dport {22, 80, 81, 443, 8000, 8096, 9000, 9090, 9443, 10000} accept

        udp dport 53 accept  # DNS

    }



    chain forward {

        type filter hook forward priority filter; policy drop;

    }



    chain output {

        type filter hook output priority filter; policy accept;



        # Garantir saída para DNS

        udp dport 53 accept

        tcp dport 53 accept

    }

}



table ip nat {

    chain postrouting {

        type nat hook postrouting priority 100;

        policy accept;



        oifname "enp1s0" masquerade

    }

}

Adicionei política drop nas cadeias input e forward para maior segurança (talvez você tenha de monitorar, caso perder a conexão de internet coloque accept ou deixe drop e depois vá testando e liberando aos poucos só o que você quer dentro da chain forward;
Acrescentei regras de ICMP permitindo tráfego normal para evitar quebras em diagnósticos de rede e PMTU;
Acrescentei permissão de tráfego DNS de saída;
lo e enp1s0 com aspas para segurança extra, placas de rede devem vir entre aspas.

_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!

0 0

Quote