Forum Debian Users Gang

Poprawka: tutaj masz opisane dokładnie co i jak zrobić.

Generalnie, całość sprowadza się do wykonania trzech (czterech) komend

Zachowanie reguł do pliku

sudo iptables-save > save.txt

Remapowanie/Konwersja exportu na inny format

sudo iptables-restore-translate -f save.txt > ruleset.nft

Następnie import do nowego firewall

sudo nft -f ruleset.nft

Oraz test, czy import poszedł poprawnie:

nft list ruleset

Ostatnio edytowany przez developer (2020-11-04 21:04:48)

Tłumaczenie reguł z iptables na nftables jest niezbyt skuteczne

Można poprosić o jakieś uzasadniernie tej teorii?

developer napisał(-a):

Tłumaczenie reguł z iptables na nftables jest niezbyt skuteczne

Można poprosić o jakieś uzasadniernie tej teorii?

Tu masz napisane:

https://morfikov.github.io/post/migracja-z-iptables-na-nftables-w-debianie/ napisał(-a):

Reguły iptables można tłumaczyć jedna po drugiej lub też możemy przetłumaczyć je wszystkie naraz. Warto tutaj zaznaczyć, że te narzędzia do tłumaczenia reguł nie są w 100% akuratne i pewnych reguł nie będą w stanie przetłumaczyć (zwykle tych, które nie są wspierane w nftables , np. reguły od ipset ). Cześć reguł nawet może zostać przetłumaczona błędnie poprzez zgubienie pewnych ich elementów, np. port docelowy, czy wychodzący interfejs sieciowy, itd. Niemniej jednak, większość standardowych reguł, które spotyka się zwykle na desktopach, powinna zostać przetłumaczona poprawnie bez większego problemu. Dobrze jest jednak po procesie translacji zweryfikować każdą pojedynczą regułę i porównać ją z tym co poddaliśmy tłumaczeniu, by wyeliminować jakiekolwiek nieścisłości, które mogłyby zaistnieć.

Ja jakość automatycznej translacji poznałem osobiście, kiedy tłumaczyłem regułki zawierające connlimit, hashlimit albo cgroup.
W czasie, kiedy migrowałem na nftables, 3/4 składni iptables ten translator nie rozumiał.
Wyłożył się nawet na takiej oto "niezwykle skomplikowanej" regułce:

iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-inc 1

PS
Czy dziś sobie poradzi?
wersja:

 iptables -V
iptables v1.8.5 (nf_tables)

mały test

 iptables-translate  -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-inc 1
nft # -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-inc 1

Jak to jest prawidłowo przetłumaczone na składnię nftables, to jo jest franz posypka z domu kołocz. :P

Pozdro

Ostatnio edytowany przez Jacekalex (2020-11-05 15:02:01)

Jest do bani, tzn. teraz nie wiem czy jest ale jak ja tłumaczyłem reguły to był i skończyłem na napisaniu wszystkich reguł od początku. xD

Firewalld to kolejny utrudniacz, jeszcze będziesz prawdopodobnie kiedyś żałował jego instalacji, kiedy tylko będziesz potrzebował opcji, której firewalld nie przewiduje.
Ten problem dotyczy wszystkich demonów i ułatwuaczy, które mają myśleć lub coś robić zamiast użytkownika.

Co się tyczy migracji na desktopie, to nftables ma w brzuchu gotową konfigurację dla stacji roboczej, w Gentoo była od razu w /etc/nftables/, Debian ma konfigurację gotową dla workstation w pliku:

/usr/share/doc/nftables/examples/workstation.nft

w folderze

/usr/share/doc/nftables/examples/

ma z resztą dużo więcej ciekawych przykładów.

developer napisał(-a):

Ano dlatego, że działanie z konta root jest skrajnie niebezpieczne jak i niezalecane. Po to jest właśnie

Kod:

sudo

Ano tego właśnie nie pojmuję. Nie działam na koncie root lecz loguję root`a w terminal chcąc zarządzać systemem. Sudo w tym momencie stwarza wrażenie jakoby stało wyżej w hierarchii uprawnień od root ponieważ poważne zadanie z kwestii zabezpieczenia systemu wykonywalne jest z sudo a nie root. Kiedyś zainstalowałem sobie system Mint bez uprawnień sudo dla użytkownika. Nie wiedziałem wtedy jak przydzielić sobie sudo więc zapytałem na Forum. Odpowiedź jednego z moderatorów była taka: "po co ci sudo to niebezpieczne, ja zarządzam root`em i tak jest bezpieczniej."
Pomijając kwestię tego aby być świadomym swoich działań to przecież sudo daje takie same możliwości administratorskie jak root. W tym konkretnym przypadku chyba nawet większe.

@Jacekalex dziękuję Ci za wskazanie

/usr/share/doc/nftables/examples/workstation.nft

gdybyś tylko podpowiedział mi jakim poleceniem zaimplementować ten plik dla nftables.

Ostatnio edytowany przez mark (2020-11-06 18:55:55)

ilin napisał(-a):

Jak się logujesz na tego roota

Przez

Kod:

su

czy

Kod:

su -

Sudo służy do zupełnie czegoś innego.

Przez su

Można też i w ten sposób podnosić uprawnienia

sudo -i

Ostatnio edytowany przez samu (2020-11-06 20:27:20)

Przepraszam Was że namieszałem w tym wątku z "su". Odbiega to dziebko od meritum zagadnienia z nftables więc jestem wdzięczny moderatorowi za wyrozumiałość. Nie każdemu bliskie są powyższe aspekty stosowania uprawnień linuksowych. Najgorsze bywa utrwalenie pewnych stereotypów zachowań, jak w moim przypadku, tylko "su" i tego się trzymałem do momentu napotkania przeszkody.
Teraz poprosiłbym o wskazówkę - jak wszczepić skrypt workstation.nft lub jemu podobne do nftables.

developer napisał(-a):

Wszystko masz ładnie opisane pod tym linkiem.

Z tym linkiem zapoznałem się już wcześniej jednak z obawy aby czegoś nie sknocić pytałem. Jest opisane jak przejść z iptables do nftables. Ja mam uruchomioną usługę nftables i jedyne co mnie interesuje nie jest tłumaczenie starych reguł iptables lecz po prostu zaimplementowanie gotowca z:

/usr/share/doc/nftables/examples/workstation.nft

Czy jeżeli zrobię w ten sposób poniższy będzie właściwie?

% nft -f workstation.nft

samu napisał(-a):

A ten lamerski sposób sprawdził? @mark

Kod:

cp /usr/share/doc/nftables/examples/workstation.nft /etc/nftables.conf

Może lamerski lecz skuteczny. Dzięki!

Odkopię temat, zastanawiam się nad migracją z iptables na nftables ale jednak nie ma co, przynajmniej na razie, brakuje wciąż kilku opcji, na przykład:

15:07[user1@arch ~]$ iptables-translate -P INPUT ACCEPT
Translation not implemented
nft 15:07[user1@arch ~]$ iptables-translate -P OUTPUT ACCEPT
Translation not implemented
nft 15:07[user1@arch ~]$ iptables-translate -P OUTPUT DROP
Translation not implemented

Chyba że jest inny sposób, ale przecieć nftables jest już trochę czasu a mimo to wciąż ma braki.