Nftables Netze absichern: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (217 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | =Einleitung= | + | = Einleitung = |
| − | *Nachdem wir ein Hostsystem abgesichert haben, kommen wir nun zum Absichern von Netzen. | + | |
| − | *Die Firewall agiert als | + | * Nachdem wir ein Hostsystem abgesichert haben, kommen wir nun zum Absichern von Netzen. |
| − | *In unserem Beispiel haben wir | + | * Die Firewall agiert als Vermittler zwischen verschiedenen Netzen. |
| − | =WAN= | + | * In unserem Beispiel haben wir 4 Netzbereiche. |
| − | *Wide Area Net steht für alles was nicht die anderen beiden Netze betrifft | + | |
| − | =LAN= | + | = WAN = |
| − | *Local Area Net steht in der Regel für ein Netz das von aussen nicht erreichbar ist. | + | |
| − | *Meist ist es über | + | * Wide Area Net steht für alles was nicht die anderen beiden Netze betrifft |
| − | =DMZ= | + | |
| − | *Demilitarized Zone ist ein Netz welches von | + | = LAN = |
| − | * | + | |
| − | *Dort werden | + | * Local Area Net steht in der Regel für ein Netz das von aussen nicht erreichbar ist. |
| − | =Der Plan= | + | * Meist ist es über Network Address Translation (NAT) angebunden. |
| + | |||
| + | = DMZ = | ||
| + | |||
| + | * Demilitarized Zone ist ein Netz welches von außen erreichbar ist. | ||
| + | * Die Zugriffe werden aber durch die Firewall abgesichert. | ||
| + | * Dort werden meistens Dienste wie Mail oder Web gehostet. Teilweise auch Proxy Server. | ||
| + | |||
| + | =SERVER= | ||
| + | * Hier stehen die internen SERVER | ||
| + | * Fileserver oder LDAP Server | ||
| + | |||
| + | = Der Plan = | ||
| + | |||
{{#drawio:netzplan-nftables-1}} | {{#drawio:netzplan-nftables-1}} | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | flush ruleset | + | = Das Grundgerüst = |
| − | table inet filter { | + | |
| − | + | * Wir nutzen unsere Host Firewall als Ausgangsskript | |
| − | + | * Wir wollen aber von vorneherein verstärkt mit Variablen arbeiten. | |
| − | + | * Dies macht die Skripte universeller. | |
| − | + | ===vim /etc/nftables-vars.conf=== | |
| − | + | {{vorlage:nftables-vars.conf}} | |
| − | + | ===vim /etc/nftables.conf=== | |
| − | + | #!/usr/sbin/nft -f | |
| − | + | include "/etc/nftables-vars.conf" | |
| − | + | flush ruleset | |
| − | + | table inet filter { | |
| − | + | {{vorlage:input.conf}} | |
| + | <span style="color:#FF0000">chain forward {</span> | ||
| + | <span style="color:#FF0000">type filter hook forward priority filter; policy drop;</span> | ||
| + | <span style="color:#FF0000">ct state established,related accept</span> | ||
| + | <span style="color:#FF0000">log prefix "--nftables-drop-forward--"</span> | ||
| + | <span style="color:#FF0000">}</span> | ||
| + | |||
| + | {{vorlage:output.conf}} | ||
| + | } | ||
| + | {{vorlage:nat2}} | ||
| + | |||
| + | == Weitere Tabellen == | ||
| + | |||
| + | * Eine Skizze über die Reihenfolge der Hooks. | ||
| + | * Als erstes greift der Prerouting-Hook | ||
| + | * Je nachdem wie geroutet wird greift dann entweder Input- oder Forward-Hook | ||
| + | * Falls ein lokaler Prozess ein Paket sendet, dann greift der Output-Hook | ||
| + | * Als letztes kann man das Paket mit dem Postrouting-Hook beeinflußen | ||
| + | |||
| + | {{#drawio:nft-inet1}} | ||
| + | |||
| + | =Forward von innen nach aussen= | ||
| + | *Wir wollen das unsere Clients und die Server vorerst nach aussen alles dürfen. | ||
| + | ===vim /etc/nftables-vars.conf=== | ||
| + | {{vorlage:nftables-vars.conf}} | ||
| + | ===vim /etc/nftables.conf=== | ||
| + | #!/usr/sbin/nft -f | ||
| + | include "/etc/nftables-vars.conf" | ||
| + | flush ruleset | ||
| + | table inet filter { | ||
| + | {{vorlage:input.conf}} | ||
| + | chain forward { | ||
| + | type filter hook forward priority filter; policy drop; | ||
| + | ct state established,related accept | ||
| + | <span style="color:#FF0000">ct state new ip saddr $LOCALNETS accept</span> | ||
| + | log prefix "--nftables-drop-forward--" | ||
| + | } | ||
| + | {{vorlage:output.conf}} | ||
| + | } | ||
| + | {{vorlage:nat2}} | ||
| + | |||
| + | =Regeln von aussen nach innen= | ||
| + | * Die Regel die eingefügt wird bedeuten folgendes: | ||
| + | * Ein Paket welches in die Schnittstelle enp0s3 reingeht und den Rechner über enp0s8 verlässt, | ||
| + | * Sowie an die Zieladresse des Nameservers und an den UDP Zielport 53 gerichtet ist, | ||
| + | * wird durchgelassen und in der Conntrack-Tabelle aufgenommen. | ||
| + | ===vim /etc/nftables-vars.conf=== | ||
| + | {{vorlage:nftables-vars.conf}} | ||
| + | <span style="color:#FF0000">define NS = 10.88.2XX.21</span> | ||
| + | |||
| + | ===vim /etc/nftables.conf=== | ||
| + | #!/usr/sbin/nft -f | ||
| + | include "/etc/nftables-vars.conf" | ||
| + | flush ruleset | ||
| + | table inet filter { | ||
| + | {{vorlage:input.conf}} | ||
| − | + | chain forward { | |
| − | + | type filter hook forward priority filter; policy drop; | |
| − | + | ct state established,related accept | |
| − | + | <span style="color:#FF0000">ct state new iif $WANDEV oif $DMZDEV ip daddr $NS udp dport 53 accept</span> | |
| − | + | ct state new ip saddr $LOCALNETS accept | |
| − | + | log prefix "--nftables-drop-forward--" | |
| − | + | } | |
| − | + | ||
| − | } | + | {{vorlage:output.conf}} |
| + | } | ||
| + | {{vorlage:nat2}} | ||
| + | =Erklärungen= | ||
| + | ct state new iif $WANDEV oif $DMZDEV ip saddr $HOST ip daddr $WWW tcp dport 80 accept | ||
| + | {| class="wikitable" | ||
| + | ! Schlüsselwort / Variable !! Typ !! Erklärung | ||
| + | |- | ||
| + | | <code>ct state new</code> || nftables-Ausdruck || Paket-Tracking via Connection Tracking: Trifft auf neue Verbindungen zu (kein bestehendes ct-Entry) | ||
| + | |- | ||
| + | | <code>iif</code> || Schlüsselwort || Eingehendes Interface (Input Interface Flag) | ||
| + | |- | ||
| + | | <code>$WANDEV</code> || Variable || Enthält den Namen des WAN-Interfaces (z. B. <code>eth0</code>), über das das Paket eingeht | ||
| + | |- | ||
| + | | <code>oif</code> || Schlüsselwort || Ausgehendes Interface (Output Interface Flag) | ||
| + | |- | ||
| + | | <code>$DMZDEV</code> || Variable || Enthält den Namen des DMZ-Interfaces (z. B. <code>eth2</code>), über das das Paket weitergeleitet wird | ||
| + | |- | ||
| + | | <code>ip saddr</code> || Schlüsselwort || Quelladresse auf IPv4-Ebene (Source Address) | ||
| + | |- | ||
| + | | <code>$HOST</code> || Variable || Enthält die IPv4-Adresse des erlaubten Quell-Hosts | ||
| + | |- | ||
| + | | <code>ip daddr</code> || Schlüsselwort || Zieladresse auf IPv4-Ebene (Destination Address) | ||
| + | |- | ||
| + | | <code>$WWW</code> || Variable || Enthält die IPv4-Adresse des Ziel-Webservers | ||
| + | |- | ||
| + | | <code>tcp dport 80</code> || Ausdruck || Protokoll TCP, Zielport 80 (HTTP) | ||
| + | |- | ||
| + | | <code>accept</code> || Aktion || Paket wird akzeptiert und passiert die Regel | ||
| + | |} | ||
| − | + | =old stuff= | |
| + | *[[nftables-net-oldstuff]] | ||
Aktuelle Version vom 22. Mai 2026, 09:41 Uhr
Einleitung
- Nachdem wir ein Hostsystem abgesichert haben, kommen wir nun zum Absichern von Netzen.
- Die Firewall agiert als Vermittler zwischen verschiedenen Netzen.
- In unserem Beispiel haben wir 4 Netzbereiche.
WAN
- Wide Area Net steht für alles was nicht die anderen beiden Netze betrifft
LAN
- Local Area Net steht in der Regel für ein Netz das von aussen nicht erreichbar ist.
- Meist ist es über Network Address Translation (NAT) angebunden.
DMZ
- Demilitarized Zone ist ein Netz welches von außen erreichbar ist.
- Die Zugriffe werden aber durch die Firewall abgesichert.
- Dort werden meistens Dienste wie Mail oder Web gehostet. Teilweise auch Proxy Server.
SERVER
- Hier stehen die internen SERVER
- Fileserver oder LDAP Server
Der Plan
Das Grundgerüst
- Wir nutzen unsere Host Firewall als Ausgangsskript
- Wir wollen aber von vorneherein verstärkt mit Variablen arbeiten.
- Dies macht die Skripte universeller.
vim /etc/nftables-vars.conf
define WANDEV = enp0s3
define DMZDEV = enp0s8
define LANDEV = enp0s9
define SERVERDEV = enp0s10
define WANIP = <WANIP der Firewall>
define LAN = 172.26.2XX.0/24
define SERVER = 10.2XX.1.0/24
define MGMT = 172.27.2XX.0/24
define DMZ = 10.88.2XX.0/24
define KIT = <SCHULUNGS NETZ>
define HOST = <EUER HOST>
define LOCALNETS = { $DMZ, $LAN, $SERVER, $MGMT }
vim /etc/nftables.conf
#!/usr/sbin/nft -f
include "/etc/nftables-vars.conf"
flush ruleset
table inet filter {
chain input {
type filter hook input priority filter; policy drop;
ct state established,related accept
ct state new iif "lo" accept
ct state new iif $DMZDEV ip saddr $DMZ tcp dport 22 accept
ct state new iif $LANDEV ip saddr $LAN tcp dport 22 accept
ct state new iif $SERVERDEV ip saddr $SERVER tcp dport 22 accept
ct state new iif $WANDEV ip saddr $HOST tcp dport 22 accept
ct state new icmp type echo-request accept
ct state new iif $LANDEV udp dport 67 accept
log prefix " --nftables-drop-input-- "
}
chain forward { type filter hook forward priority filter; policy drop; ct state established,related accept log prefix "--nftables-drop-forward--" }
chain output {
type filter hook output priority filter; policy drop;
ct state established,related accept
ct state new accept
log prefix " --nftables-drop-output-- "
}
}
table inet nat {
chain postrouting {
type nat hook postrouting priority 100; policy accept;
ip saddr $DMZ ip daddr $KIT return
ip saddr $DMZ ip daddr 10.88.0.0/16 return
ip saddr $DMZ oif $WANDEV snat to $WANIP
ip saddr $LAN oif $WANDEV snat to $WANIP
ip saddr $SERVER oif $WANDEV snat to $WANIP
ip saddr $MGMT oif $WANDEV snat to $WANIP
}
}
Weitere Tabellen
- Eine Skizze über die Reihenfolge der Hooks.
- Als erstes greift der Prerouting-Hook
- Je nachdem wie geroutet wird greift dann entweder Input- oder Forward-Hook
- Falls ein lokaler Prozess ein Paket sendet, dann greift der Output-Hook
- Als letztes kann man das Paket mit dem Postrouting-Hook beeinflußen
![Bearbeiten](javascript:editDrawio("907310423", "netzplan-nftables-1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("693109068", "nft-inet1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Forward von innen nach aussen
- Wir wollen das unsere Clients und die Server vorerst nach aussen alles dürfen.
vim /etc/nftables-vars.conf
define WANDEV = enp0s3
define DMZDEV = enp0s8
define LANDEV = enp0s9
define SERVERDEV = enp0s10
define WANIP = <WANIP der Firewall>
define LAN = 172.26.2XX.0/24
define SERVER = 10.2XX.1.0/24
define MGMT = 172.27.2XX.0/24
define DMZ = 10.88.2XX.0/24
define KIT = <SCHULUNGS NETZ>
define HOST = <EUER HOST>
define LOCALNETS = { $DMZ, $LAN, $SERVER, $MGMT }
vim /etc/nftables.conf
#!/usr/sbin/nft -f
include "/etc/nftables-vars.conf"
flush ruleset
table inet filter {
chain input {
type filter hook input priority filter; policy drop;
ct state established,related accept
ct state new iif "lo" accept
ct state new iif $DMZDEV ip saddr $DMZ tcp dport 22 accept
ct state new iif $LANDEV ip saddr $LAN tcp dport 22 accept
ct state new iif $SERVERDEV ip saddr $SERVER tcp dport 22 accept
ct state new iif $WANDEV ip saddr $HOST tcp dport 22 accept
ct state new icmp type echo-request accept
ct state new iif $LANDEV udp dport 67 accept
log prefix " --nftables-drop-input-- "
}
chain forward {
type filter hook forward priority filter; policy drop;
ct state established,related accept
ct state new ip saddr $LOCALNETS accept
log prefix "--nftables-drop-forward--"
}
chain output {
type filter hook output priority filter; policy drop;
ct state established,related accept
ct state new accept
log prefix " --nftables-drop-output-- "
}
}
table inet nat {
chain postrouting {
type nat hook postrouting priority 100; policy accept;
ip saddr $DMZ ip daddr $KIT return
ip saddr $DMZ ip daddr 10.88.0.0/16 return
ip saddr $DMZ oif $WANDEV snat to $WANIP
ip saddr $LAN oif $WANDEV snat to $WANIP
ip saddr $SERVER oif $WANDEV snat to $WANIP
ip saddr $MGMT oif $WANDEV snat to $WANIP
}
}
Regeln von aussen nach innen
- Die Regel die eingefügt wird bedeuten folgendes:
- Ein Paket welches in die Schnittstelle enp0s3 reingeht und den Rechner über enp0s8 verlässt,
- Sowie an die Zieladresse des Nameservers und an den UDP Zielport 53 gerichtet ist,
- wird durchgelassen und in der Conntrack-Tabelle aufgenommen.
vim /etc/nftables-vars.conf
define WANDEV = enp0s3
define DMZDEV = enp0s8
define LANDEV = enp0s9
define SERVERDEV = enp0s10
define WANIP = <WANIP der Firewall>
define LAN = 172.26.2XX.0/24
define SERVER = 10.2XX.1.0/24
define MGMT = 172.27.2XX.0/24
define DMZ = 10.88.2XX.0/24
define KIT = <SCHULUNGS NETZ>
define HOST = <EUER HOST>
define LOCALNETS = { $DMZ, $LAN, $SERVER, $MGMT }
define NS = 10.88.2XX.21
vim /etc/nftables.conf
#!/usr/sbin/nft -f
include "/etc/nftables-vars.conf"
flush ruleset
table inet filter {
chain input {
type filter hook input priority filter; policy drop;
ct state established,related accept
ct state new iif "lo" accept
ct state new iif $DMZDEV ip saddr $DMZ tcp dport 22 accept
ct state new iif $LANDEV ip saddr $LAN tcp dport 22 accept
ct state new iif $SERVERDEV ip saddr $SERVER tcp dport 22 accept
ct state new iif $WANDEV ip saddr $HOST tcp dport 22 accept
ct state new icmp type echo-request accept
ct state new iif $LANDEV udp dport 67 accept
log prefix " --nftables-drop-input-- "
}
chain forward {
type filter hook forward priority filter; policy drop;
ct state established,related accept
ct state new iif $WANDEV oif $DMZDEV ip daddr $NS udp dport 53 accept
ct state new ip saddr $LOCALNETS accept
log prefix "--nftables-drop-forward--"
}
chain output {
type filter hook output priority filter; policy drop;
ct state established,related accept
ct state new accept
log prefix " --nftables-drop-output-- "
}
}
table inet nat {
chain postrouting {
type nat hook postrouting priority 100; policy accept;
ip saddr $DMZ ip daddr $KIT return
ip saddr $DMZ ip daddr 10.88.0.0/16 return
ip saddr $DMZ oif $WANDEV snat to $WANIP
ip saddr $LAN oif $WANDEV snat to $WANIP
ip saddr $SERVER oif $WANDEV snat to $WANIP
ip saddr $MGMT oif $WANDEV snat to $WANIP
}
}
Erklärungen
ct state new iif $WANDEV oif $DMZDEV ip saddr $HOST ip daddr $WWW tcp dport 80 accept
| Schlüsselwort / Variable | Typ | Erklärung |
|---|---|---|
ct state new |
nftables-Ausdruck | Paket-Tracking via Connection Tracking: Trifft auf neue Verbindungen zu (kein bestehendes ct-Entry) |
iif |
Schlüsselwort | Eingehendes Interface (Input Interface Flag) |
$WANDEV |
Variable | Enthält den Namen des WAN-Interfaces (z. B. eth0), über das das Paket eingeht
|
oif |
Schlüsselwort | Ausgehendes Interface (Output Interface Flag) |
$DMZDEV |
Variable | Enthält den Namen des DMZ-Interfaces (z. B. eth2), über das das Paket weitergeleitet wird
|
ip saddr |
Schlüsselwort | Quelladresse auf IPv4-Ebene (Source Address) |
$HOST |
Variable | Enthält die IPv4-Adresse des erlaubten Quell-Hosts |
ip daddr |
Schlüsselwort | Zieladresse auf IPv4-Ebene (Destination Address) |
$WWW |
Variable | Enthält die IPv4-Adresse des Ziel-Webservers |
tcp dport 80 |
Ausdruck | Protokoll TCP, Zielport 80 (HTTP) |
accept |
Aktion | Paket wird akzeptiert und passiert die Regel |