Ajuda Pra Melhoria do NFTABLES.

1. Ajuda Pra Melhoria do NFTABLES.

MARCELO GONZAGA SILVA
marcelogon

(usa Outra)

Enviado em 10/05/2025 - 16:37h

Eu uso este script abaixo no NFTABLES do debian server do meu homelab, mas queria deixar ele muito mais forte ainda, se possível que ficasse no mesmo nível do OPNSENSE. Se quiserem, me ajudem por favor, copie o meu script e já acrescentem na resposta, o que adicionar.

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
chain input {
type filter hook input priority filter;
iifname lo accept
ct state invalid drop;
ct state established,related accept;
ip protocol icmp limit rate 1/second accept
tcp dport 22 accept
udp dport 53 accept
tcp dport 80 accept
tcp dport 81 accept
tcp dport 443 accept

}

chain forward {
type filter hook forward priority filter; policy accept;
}

chain output {
type filter hook output priority filter; policy accept;
}
}
table ip nat {
chain postrouting {
type nat hook postrouting priority 100;
policy accept;
oif "enp1s0" masquerade
}
}






  


2. Re: Ajuda Pra Melhoria do NFTABLES.

Buckminster
Buckminster

(usa Debian)

Enviado em 11/05/2025 - 02:14h

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
chain input {
type filter hook input priority filter; policy drop;

# Permitir tráfego local (loopback)
iifname "lo" accept

# Descartar conexões inválidas
ct state invalid drop

# Permitir conexões estabelecidas e relacionadas
ct state established,related accept

# Permitir ICMP (ajustado para diagnóstico básico)
ip protocol icmp accept
ip6 nexthdr icmpv6 accept

# Permitir portas de serviços específicos (ajuste conforme necessário)
tcp dport {22, 80, 81, 443, 8000, 8096, 9000, 9090, 9443, 10000} accept
udp dport 53 accept # DNS
}

chain forward {
type filter hook forward priority filter; policy drop;
}

chain output {
type filter hook output priority filter; policy accept;

# Garantir saída para DNS
udp dport 53 accept
tcp dport 53 accept
}
}

table ip nat {
chain postrouting {
type nat hook postrouting priority 100;
policy accept;

oifname "enp1s0" masquerade
}
}


Adicionei política drop nas cadeias input e forward para maior segurança (talvez você tenha de monitorar, caso perder a conexão de internet coloque accept ou deixe drop e depois vá testando e liberando aos poucos só o que você quer dentro da chain forward;
Acrescentei regras de ICMP permitindo tráfego normal para evitar quebras em diagnósticos de rede e PMTU;
Acrescentei permissão de tráfego DNS de saída;
lo e enp1s0 com aspas para segurança extra, placas de rede devem vir entre aspas.


_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts