Nftables Host absichern: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(91 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
=Vorüberlegung=
 
*Sowohl nftables als auch der Vorgänger arbeiten mit Tabellen und Ketten.
 
*Beim Vorgänger gab es diese praktisch schon von Haus aus.
 
*Bei nftables müssen wir diese selbst anlegen.
 
*Dies geschieht in dem man sie mit dem richtigen Hacken(Hook) verbindet.
 
*Dies könnte man auf der Kommandozeile machen.
 
*Eleganter ist es allerdings dies in eine Konfigurations Datei zu tun.
 
*Bei einem frisch installierten Debian oder Ubuntu System sieht die Konfiguration so aus
 
*Diese stellt ein Zustand da, der an iptables erinnert.
 
*Wir haben die filter Tabelle und 3 Ketten: input, output und forward erstellt.
 
*Wenn wir die Konfiguration laden wird impliziet die Default Policy accept gesetzt.
 
  
=Datei=
 
*cat /etc/nftables.conf
 
<pre>
 
#!/usr/sbin/nft -f
 
 
flush ruleset
 
 
table inet filter {
 
        chain input {
 
                type filter hook input priority 0;
 
        }
 
        chain forward {
 
                type filter hook forward priority 0;
 
        }
 
        chain output {
 
                type filter hook output priority 0;
 
        }
 
}
 
 
</pre>
 
 
=Laden der Konfigurationsdatei=
 
*nft -f /etc/nftables.conf
 
=Listen der aktuellen Konfiguration=
 
*nft list ruleset
 
<pre>
 
table inet filter {
 
chain input {
 
type filter hook input priority filter; policy accept;
 
}
 
 
chain forward {
 
type filter hook forward priority filter; policy accept;
 
}
 
 
chain output {
 
type filter hook output priority filter; policy accept;
 
}
 
}
 
</pre>
 
=Welchen Zustand haben wir denn nun?=
 
*Ein Paket geht grundsätzlich nur durch eine filter Kette.
 
*Ist das Paket für den Rechner selbst bestimmt, ist es die input Kette.
 
*Wird das Paket von einem lokalen Prozess generiert geht es durch die output Kette raus.
 
*Kommt es von einem anderen Rechner und wird es weitergeleietet ist es die forward Kette.
 
 
{{#drawio:nftables-filter}}
 
=Funktionsweise=
 
==Regeln==
 
*Jede dieser Kette hat nun eine Aneinanderreihung von Regeln.
 
*Diese werden von oben nach unten durchlaufen.
 
*Trift eine wird sie angewandt, das bedeutet das sie nicht weiter geprüft wird.
 
*Es gibt hier aber auch je nach Ziel Ausnahmen
 
*Am Ende wird die Default Policy angewandt.
 
==Ziele der Filter Ketten==
 
*ACCEPT: das Paket kann passieren
 
*REJECT: das Paket wird zurückgewiesen und ein Fehlerpaket wird gesendet
 
*LOG: schreibt einen Eintrag in die syslog
 
*DROP: das Paket wird ignoriert und keine Antwort gesendet
 
 
{| class="wikitable"
 
!colspan="6"|filter table
 
|-style="font-style: italic; color: blue;"
 
||input||output||forward
 
|-
 
||rule 1 ||rule 1 ||rule 1
 
|-
 
||rule 2 ||rule 2 ||rule 2
 
|-
 
||rule 3 ||rule 3 ||
 
|-
 
||rule 4 ||||
 
|-style="font-style: italic; color: red;"
 
||DEFAULT POLICY||DEFAULT POLICY||DEFAULT POLICY
 
|}
 
 
=Wir ändern nun die Default Policy auf drop=
 
*cat /etc/nftables.conf
 
<pre>
 
#!/usr/sbin/nft -f
 
 
flush ruleset
 
table inet filter {
 
chain input {
 
type filter hook input priority filter; policy drop;
 
}
 
 
chain forward {
 
type filter hook forward priority filter; policy drop;
 
}
 
 
chain output {
 
type filter hook output priority filter; policy drop;
 
}
 
}
 
</pre>
 
=Überlegung=
 
*Es ist momentan keine Idee das Firewallscript zu aktivieren.
 
*Wenn wir per ssh eingelogt wären, würden wir uns selbst abschiessen.
 
*Wir warten also noch mit der Aktivierung
 
=Connection Tracking=
 
*Beim Connection Tracking wird über jede Verbindung die durchgelassen wird, Buch geführt.
 
*Eine Verbindung die neu initiert wird, hat den Status '''new'''.
 
*Ein Paket das zu einer bestehenden Verbindung gehört, hat den Status '''established'''.
 
*Es gibt noch den Zustand '''related'''. Dies bezieht sich auf icmp Pakete die einen Bezug zu dieser Verbindung haben.
 
*Oder auch Mehr Kanal Verbindungen wie beispielsweise ftp oder sip.
 
*Dazu braucht man helper Module(prüfen)
 
*Bei den Verbindung wird auch das eigentlich Verbindungslose Protokoll '''udp''' mit einbezogen.
 
*Dies wird über einen Timer geregelt.
 
 
=Die Idee hinter dem Connection Tracking=
 
*Die Idee ist nun alle '''established''' und '''related''' Pakekte freizuschalten.
 
*Und nur bestimmte Verbindungsinitiativen freizuschalten.
 
*Das Firewall Framework lässt dann jeweils nur die Pakete durch die zu einer bestehenden Verbindung gehören.
 
 
=Einbauen des Connection Tracking Grundgerüst=
 
*Wir erlauben alle Pakete die zu einer bestehenden Verbindung gehören.
 
*Wir erlauben alle Pakete die in einer Relation zu einer bestehenden Verbindung stehen.
 
*'''Achtung''' Die Firwall lässt immer noch nichts durch, weil wir noch keine neue Verbindung erlauben.
 
 
*cat /etc/nftables.conf
 
<pre>
 
#!/usr/sbin/nft -f
 
 
flush ruleset
 
table inet filter {
 
chain input {
 
type filter hook input priority filter; policy drop;
 
                ct state established,related accept
 
}
 
 
chain forward {
 
type filter hook forward priority filter; policy drop;
 
                ct state established,related accept
 
        }
 
 
chain output {
 
type filter hook output priority filter; policy drop;
 
                ct state established,related accept
 
}
 
}
 
</pre>
 
 
=Die ersten wirklichen Regeln die etwas bewirken=
 
=Die ersten wirklichen Regeln die etwas bewirken=
 
*Momentan wollen wir nur den Host absichern.  
 
*Momentan wollen wir nur den Host absichern.  
Zeile 159: Zeile 6:
 
*Wir wollen nun folgendes tun:
 
*Wir wollen nun folgendes tun:
 
*<span style="color:#202FF0">Der Rechner soll mit sich selbst über das Loopback Interface kommunizieren können.</span>
 
*<span style="color:#202FF0">Der Rechner soll mit sich selbst über das Loopback Interface kommunizieren können.</span>
*<span style="color:#004334">Vom Rechner selbst nach aussen soll zugelassen werden tcp 22,25,53,80,465,443, udp 53 und icmp</span>
+
*<span style="color:#004334">Vom Rechner selbst nach aussen soll alles zugelassen werden </span>
*<span style="color:#8a2be2">Auf den Rechner soll per "ssh, http und https" zugegriffen werden können.</span>
+
*<span style="color:#8a2be2">Auf den Rechner soll per "ssh" zugegriffen werden können.</span>
 +
 
 
=Die erste sinnvolle Konfiguration=
 
=Die erste sinnvolle Konfiguration=
*cat /etc/nftables.conf
+
{{nftabels-var1
#!/usr/sbin/nft -f
+
| kit = 172.22.0.0/16
<span style="color:#004334">define remote_tcp_ports = { 22,25,53,80,465,443 }</span>
+
}}
<span style="color:#004334">define remote_udp_ports = { 53 }</span>
+
  # Alte Regeln löschen (flush)
  <span style="color:#8a2be2">define local_tcp_ports = { 22,80,443 }</span>
 
 
 
  flush ruleset
 
  flush ruleset
 +
 
  table inet filter {
 
  table inet filter {
 
         chain input {
 
         chain input {
 
                 type filter hook input priority filter; policy drop;
 
                 type filter hook input priority filter; policy drop;
 
                 ct state established,related accept
 
                 ct state established,related accept
                 <span style="color:#8a2be2">ct state new tcp dport $local_tcp_ports accept</span>  
+
                <span style="color:#8a2be2">ct state new iif "lo" accept</span>
 +
                 <span style="color:#8a2be2">ct state new tcp dport 22 accept</span>  
 
   
 
   
 
         }
 
         }
         chain forward {
+
     
                 type filter hook forward priority filter; policy drop;
+
 +
        chain output {
 +
                type filter hook output priority filter; policy drop;
 +
                ct state established,related accept
 +
                <span style="color:#004334">ct state new accept</span>
 +
          }
 +
}
 +
{{vorlage:nat2}}
 +
==Aktivieren und Kontrolliere==
 +
;Aktivieren
 +
*nft -f /etc/nftables.conf
 +
;Kontrollieren
 +
*nft list ruleset
 +
 
 +
=Wir schalten ping frei=
 +
{{nftabels-var1
 +
| kit = 172.22.0.0/16
 +
}}
 +
# Alte Regeln löschen (flush)
 +
flush ruleset
 +
 
 +
table inet filter {
 +
         chain input {
 +
                 type filter hook input priority filter; policy drop;
 
                 ct state established,related accept
 
                 ct state established,related accept
 +
                ct state new iif "lo" accept
 +
                ct state new tcp dport 22 accept
 +
                <span style="color:#8a2be2">ct state new icmp type echo-request accept</span>
 
         }
 
         }
 +
     
 
   
 
   
 
         chain output {
 
         chain output {
 
                 type filter hook output priority filter; policy drop;
 
                 type filter hook output priority filter; policy drop;
 
                 ct state established,related accept
 
                 ct state established,related accept
                <span style="color:#202FF0">ct state new oifname "lo" accept</span>
+
                 <span style="color:#004334">ct state new accept</span>
                <span style="color:#004334">ct state new tcp dport $remote_tcp_ports accept</span>
+
          }
                <span style="color:#004334">ct state new udp dport $remote_udp_ports accept</span>
 
                 <span style="color:#004334">ct state new icmp type echo-request accept</span>
 
        }
 
 
  }
 
  }
=Wir laden nun die Konfiguration=
+
{{vorlage:nat2}}
 +
 
 +
==Aktivieren und Kontrolliere==
 +
;Aktivieren
 
*nft -f /etc/nftables.conf
 
*nft -f /etc/nftables.conf
 +
;Kontrollieren
 +
*nft list ruleset
  
 
=Wir loggen=
 
=Wir loggen=
 
*Wir wollen die abgelehnten Pakete loggen.  
 
*Wir wollen die abgelehnten Pakete loggen.  
 
*Die Idee dahinter ist, wir schreiben eine Regel kurz bevor die Default Policy greift.
 
*Die Idee dahinter ist, wir schreiben eine Regel kurz bevor die Default Policy greift.
*cat /etc/nftables.conf
+
*<span style="color:#FF0000">Neu: Wir fügen in jeder Kette eine log-Regel ein, um verworfene Pakete zu protokollieren</span>
<pre>
 
#!/usr/sbin/nft -f
 
define remote_tcp_ports = { 22,25,53,80,465,443 }
 
define remote_udp_ports = { 53 }
 
define local_tcp_ports = { 22,80,443 }
 
  
flush ruleset
+
{{nftabels-var1
table inet filter {
+
| kit = 172.22.0.0/16
        chain input {
+
}}
                type filter hook input priority filter; policy drop;
+
# Alte Regeln löschen (flush)
                ct state established,related accept
+
flush ruleset
                ct state new tcp dport $local_tcp_ports accept
+
table inet filter {
                log prefix "--nftables-drop-input--"
+
        chain input {
        }
+
                type filter hook input priority filter; policy drop;
        chain forward {
+
                ct state established,related accept
                type filter hook forward priority filter; policy drop;
+
                ct state new iif "lo" accept
                ct state established,related accept
+
                ct state new tcp dport 22 accept
                log prefix "--nftables-drop-forward--"
+
                ct state new icmp type echo-request accept  
        }
+
                  <span style="color:#8a2be2">log prefix " --nftables-drop-input-- "</span>
 +
        }
 +
   
  
        chain output {
+
        chain output {
                type filter hook output priority filter; policy drop;
+
                type filter hook output priority filter; policy drop;
                ct state established,related accept
+
                ct state established,related accept
                ct state new oifname "lo" accept
+
                ct state new oif "lo" accept
                ct state new tcp dport $remote_tcp_ports accept
+
                ct state new accept
                ct state new udp dport $remote_udp_ports accept
+
                  <span style="color:#8a2be2">log prefix " --nftables-drop-output-- "</span>
                log prefix "--nftables-drop-output--"
+
        }
        }
+
}
}
 
</pre>
 
  
=Wir schauen und die Log Datei an=
+
{{vorlage:nat2}}
*tail -f /var/log/syslog
+
 
2022-11-09T19:07:57.409090+01:00 fedora kernel: --nftables-drop-output--IN= OUT=ens18 SRC=10.0.10.115 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=43885 DF PROTO=TCP SPT=55566 DPT=87 WINDOW=64240 RES=0x00 SYN URGP=0
+
=DHCP für das Lan freischalten=
 +
*<span style="color:#FF0000">Neu: Wir schlaten für das LAN UDP Port 67 frei</span>
 +
 
 +
{{nftabels-var1
 +
| kit = 172.22.0.0/16
 +
}}
 +
define LANDEV=enp0s9
 +
# Alte Regeln löschen (flush)
 +
flush ruleset
 +
table inet filter {
 +
        chain input {
 +
                type filter hook input priority filter; policy drop;
 +
                ct state established,related accept
 +
                ct state new iif "lo" accept
 +
                ct state new tcp dport 22 accept
 +
                ct state new icmp type echo-request accept
 +
                <span style="color:#8a2be2">ct state new iif $LANDEV udp dport 67 accept</span>
 +
                log prefix " --nftables-drop-input-- "
 +
        }
 +
   
 +
 
 +
        chain output {
 +
                type filter hook output priority filter; policy drop;
 +
                ct state established,related accept
 +
                ct state new oif "lo" accept
 +
                ct state new accept
 +
                log prefix " --nftables-drop-output-- "
 +
        }
 +
}
 +
 
 +
{{vorlage:nat2}}
 +
 
 +
==nftables Logging über journalctl ==
 +
;Erklärung
 +
*journalctl -k -f -g nftables
 +
;Nur Logtext ohne Metadaten
 +
*journalctl -k -f -g nftables -o cat
 +
;Logausgabe mit ISO-Zeitformat
 +
*journalctl -k -f -g nftables -o short-iso
 +
;Nur drop-input
 +
*journalctl -k -f -g nftables-drop-input
  
 
=Aktivieren der Firewall beim Systemstart=
 
=Aktivieren der Firewall beim Systemstart=
 
*systemctl enable nftables --now
 
*systemctl enable nftables --now
 +
 +
=Source oder Destination IP oder Netze=
 +
;Hinweis für die Aufgaben.
 +
Source Ips oder Netze werden mit einem '''ip saddr IP''' angeben
 +
 +
Destination Ips oder Netze werden mit einem '''ip daddr IP''' angeben
 +
;Beispiele
 +
 +
ct state new iif "enp0s9" ip saddr 172.26.213.0/24 tcp dport 22 accept
 +
 +
=Aufgabe=
 +
*Grenzt den Zugriff per ssh so ein das folgende Bereiche zugelassen:
 +
**DMZ
 +
**LAN
 +
**SERVER
 +
**HOST
 +
;Testet ob die Regel greifen positiv wie negativ <nowiki>:)</nowiki>
 +
 +
=Handling=
 +
;Regelsatz anzeigen
 +
*nft list ruleset
 +
;Regelsatz neuladen
 +
*systemctl restart nftables
 +
oder
 +
*nft -f /etc/nftables.conf
 +
;Regelsatz löschen
 +
*systemctl stop nftables
 +
oder
 +
*nft flush ruleset
 +
;Firewall für den System aktiveren
 +
*systemctl enable nftables
 +
;Ist die Firewall enabled?
 +
*systemctl is-enabled nftables
 +
;Firewall start
 +
*systemctl start nftables
 +
;Firewall start und enabled
 +
*systemctl enable nftables --now
 +
;Logging
 +
*journalctl -fkg nftables

Aktuelle Version vom 22. Mai 2026, 09:14 Uhr

Die ersten wirklichen Regeln die etwas bewirken

  • Momentan wollen wir nur den Host absichern.
  • Darum können wir die forward Kette erstmal aussen vor lassen.
  • Wir beziehen uns also nur auf den Host selbst.
  • Wir wollen nun folgendes tun:
  • Der Rechner soll mit sich selbst über das Loopback Interface kommunizieren können.
  • Vom Rechner selbst nach aussen soll alles zugelassen werden
  • Auf den Rechner soll per "ssh" zugegriffen werden können.

Die erste sinnvolle Konfiguration

  • cat /etc/nftables.conf
#!/usr/sbin/nft -f

# Variablen
define WANIP = <WANIP der Firewall>
define LAN = 172.26.2XX.0/24
define MGMT = 172.27.2XX.0/24
define SERVER = 10.2XX.1.0/24
define DMZ = 10.88.2XX.0/24
define KIT = 172.22.0.0/16
define WANDEV = enp0s3
# Alte Regeln löschen (flush)
flush ruleset

table inet filter {
        chain input {
                type filter hook input priority filter; policy drop;
                ct state established,related accept
                ct state new iif "lo" accept
                ct state new tcp dport 22 accept 

        }
     

        chain output {
                type filter hook output priority filter; policy drop;
                ct state established,related accept
                ct state new accept
          }
}

 table inet nat {
  chain postrouting {
   type nat hook postrouting priority 100; policy accept;
        ip saddr $DMZ ip daddr $KIT return
        ip saddr $DMZ ip daddr 10.88.0.0/16 return
        ip saddr $DMZ oif $WANDEV snat to $WANIP
        ip saddr $LAN oif $WANDEV snat to $WANIP
        ip saddr $SERVER oif $WANDEV snat to $WANIP
        ip saddr $MGMT oif $WANDEV snat to $WANIP
     }
  }

Aktivieren und Kontrolliere

Aktivieren
  • nft -f /etc/nftables.conf
Kontrollieren
  • nft list ruleset

Wir schalten ping frei

  • cat /etc/nftables.conf
#!/usr/sbin/nft -f

# Variablen
define WANIP = <WANIP der Firewall>
define LAN = 172.26.2XX.0/24
define MGMT = 172.27.2XX.0/24
define SERVER = 10.2XX.1.0/24
define DMZ = 10.88.2XX.0/24
define KIT = 172.22.0.0/16
define WANDEV = enp0s3
# Alte Regeln löschen (flush)
flush ruleset

table inet filter {
        chain input {
                type filter hook input priority filter; policy drop;
                ct state established,related accept
                ct state new iif "lo" accept
                ct state new tcp dport 22 accept
                ct state new icmp type echo-request accept 
        }
     

        chain output {
                type filter hook output priority filter; policy drop;
                ct state established,related accept
                ct state new accept
          }
}

 table inet nat {
  chain postrouting {
   type nat hook postrouting priority 100; policy accept;
        ip saddr $DMZ ip daddr $KIT return
        ip saddr $DMZ ip daddr 10.88.0.0/16 return
        ip saddr $DMZ oif $WANDEV snat to $WANIP
        ip saddr $LAN oif $WANDEV snat to $WANIP
        ip saddr $SERVER oif $WANDEV snat to $WANIP
        ip saddr $MGMT oif $WANDEV snat to $WANIP
     }
  }

Aktivieren und Kontrolliere

Aktivieren
  • nft -f /etc/nftables.conf
Kontrollieren
  • nft list ruleset

Wir loggen

  • Wir wollen die abgelehnten Pakete loggen.
  • Die Idee dahinter ist, wir schreiben eine Regel kurz bevor die Default Policy greift.
  • Neu: Wir fügen in jeder Kette eine log-Regel ein, um verworfene Pakete zu protokollieren
  • cat /etc/nftables.conf
#!/usr/sbin/nft -f

# Variablen
define WANIP = <WANIP der Firewall>
define LAN = 172.26.2XX.0/24
define MGMT = 172.27.2XX.0/24
define SERVER = 10.2XX.1.0/24
define DMZ = 10.88.2XX.0/24
define KIT = 172.22.0.0/16
define WANDEV = enp0s3
# Alte Regeln löschen (flush)
flush ruleset
table inet filter {
        chain input {
                type filter hook input priority filter; policy drop;
                ct state established,related accept
                ct state new iif "lo" accept
                ct state new tcp dport 22 accept
                ct state new icmp type echo-request accept 
                 log prefix " --nftables-drop-input-- "
        }
   

        chain output {
                type filter hook output priority filter; policy drop;
                ct state established,related accept
                ct state new oif "lo" accept
                ct state new accept
                 log prefix " --nftables-drop-output-- "
        }
}

 table inet nat {
  chain postrouting {
   type nat hook postrouting priority 100; policy accept;
        ip saddr $DMZ ip daddr $KIT return
        ip saddr $DMZ ip daddr 10.88.0.0/16 return
        ip saddr $DMZ oif $WANDEV snat to $WANIP
        ip saddr $LAN oif $WANDEV snat to $WANIP
        ip saddr $SERVER oif $WANDEV snat to $WANIP
        ip saddr $MGMT oif $WANDEV snat to $WANIP
     }
  }

DHCP für das Lan freischalten

  • Neu: Wir schlaten für das LAN UDP Port 67 frei
  • cat /etc/nftables.conf
#!/usr/sbin/nft -f

# Variablen
define WANIP = <WANIP der Firewall>
define LAN = 172.26.2XX.0/24
define MGMT = 172.27.2XX.0/24
define SERVER = 10.2XX.1.0/24
define DMZ = 10.88.2XX.0/24
define KIT = 172.22.0.0/16
define WANDEV = enp0s3
define LANDEV=enp0s9
# Alte Regeln löschen (flush)
flush ruleset
table inet filter {
        chain input {
                type filter hook input priority filter; policy drop;
                ct state established,related accept
                ct state new iif "lo" accept
                ct state new tcp dport 22 accept
                ct state new icmp type echo-request accept 
                ct state new iif $LANDEV udp dport 67 accept
                log prefix " --nftables-drop-input-- "
        }
   

        chain output {
                type filter hook output priority filter; policy drop;
                ct state established,related accept
                ct state new oif "lo" accept
                ct state new accept
                log prefix " --nftables-drop-output-- "
        }
}

 table inet nat {
  chain postrouting {
   type nat hook postrouting priority 100; policy accept;
        ip saddr $DMZ ip daddr $KIT return
        ip saddr $DMZ ip daddr 10.88.0.0/16 return
        ip saddr $DMZ oif $WANDEV snat to $WANIP
        ip saddr $LAN oif $WANDEV snat to $WANIP
        ip saddr $SERVER oif $WANDEV snat to $WANIP
        ip saddr $MGMT oif $WANDEV snat to $WANIP
     }
  }

nftables Logging über journalctl

Erklärung
  • journalctl -k -f -g nftables
Nur Logtext ohne Metadaten
  • journalctl -k -f -g nftables -o cat
Logausgabe mit ISO-Zeitformat
  • journalctl -k -f -g nftables -o short-iso
Nur drop-input
  • journalctl -k -f -g nftables-drop-input

Aktivieren der Firewall beim Systemstart

  • systemctl enable nftables --now

Source oder Destination IP oder Netze

Hinweis für die Aufgaben.

Source Ips oder Netze werden mit einem ip saddr IP angeben

Destination Ips oder Netze werden mit einem ip daddr IP angeben

Beispiele
ct state new iif "enp0s9" ip saddr 172.26.213.0/24 tcp dport 22 accept

Aufgabe

  • Grenzt den Zugriff per ssh so ein das folgende Bereiche zugelassen:
    • DMZ
    • LAN
    • SERVER
    • HOST
Testet ob die Regel greifen positiv wie negativ :)

Handling

Regelsatz anzeigen
  • nft list ruleset
Regelsatz neuladen
  • systemctl restart nftables

oder

  • nft -f /etc/nftables.conf
Regelsatz löschen
  • systemctl stop nftables

oder

  • nft flush ruleset
Firewall für den System aktiveren
  • systemctl enable nftables
Ist die Firewall enabled?
  • systemctl is-enabled nftables
Firewall start
  • systemctl start nftables
Firewall start und enabled
  • systemctl enable nftables --now
Logging
  • journalctl -fkg nftables
Abgerufen von „http://www.xinux.net/index.php?title=Nftables_Host_absichern&oldid=70352