Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2020-11-04 20:48:28

  mark - Użytkownik

mark
Użytkownik
Zarejestrowany: 2020-09-09

Jak przejść na nftables? [SOLVED]

Chciałbym to zrobić ale potrzebuję pomocy. Zainstalowałem pakiet nftables kierując się stroną poradnika:
https://morfikov.github.io/post/migracja-z-iptables … s-w-debianie/
Sam iptables nie zamierza współpracować odrzuca zapytania typu:

Kod:

# iptables -L -v
bash: iptables: nie znaleziono polecenia

Nie rozumiem co jest przyczyną?

Ostatnio edytowany przez mark (2020-11-08 12:21:12)

Offline

 

#2  2020-11-04 20:51:35

  developer - Użytkownik

developer
Użytkownik
Zarejestrowany: 2014-03-20

Re: Jak przejść na nftables? [SOLVED]

Poprawka: tutaj masz opisane dokładnie co i jak zrobić.

Generalnie, całość sprowadza się do wykonania trzech (czterech) komend

Zachowanie reguł do pliku

Kod:

sudo iptables-save > save.txt

Remapowanie/Konwersja exportu na inny format

Kod:

sudo iptables-restore-translate -f save.txt > ruleset.nft

Następnie import do nowego firewall

Kod:

sudo nft -f ruleset.nft

Oraz test, czy import poszedł poprawnie:

Kod:

nft list ruleset

Ostatnio edytowany przez developer (2020-11-04 21:04:48)

Offline

 

#3  2020-11-05 02:59:47

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Jak przejść na nftables? [SOLVED]

Tłumaczenie reguł z iptables na nftables jest niezbyt skuteczne.

Lepiej sobie od zera zaprojektować firewalla w oparciu o nftables.

Tu masz oficjalną dokumentację:
https://wiki.nftables.org/wiki-nftables/index.php/Main_Page

Tu dokumentacja Debiana:
https://wiki.debian.org/nftables
i jeszcze dokumentacja Arch Linux, zawsze się przyda:
https://wiki.archlinux.org/index.php/nftables

Obecne reguły iptables spróbuj wylistować tak:

Kod:

iptables-legacy -S

albo

Kod:

iptables-legacy -L  -n -v

Ostatnio edytowany przez Jacekalex (2020-11-05 03:03:19)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2020-11-05 10:33:20

  developer - Użytkownik

developer
Użytkownik
Zarejestrowany: 2014-03-20

Re: Jak przejść na nftables? [SOLVED]

Tłumaczenie reguł z iptables na nftables jest niezbyt skuteczne

Można poprosić o jakieś uzasadniernie tej teorii?

Offline

 

#5  2020-11-05 10:54:13

  arecki - Użytkownik

arecki
Użytkownik
Skąd: 44 Bronson Lane Hensonville
Zarejestrowany: 2016-03-03

Re: Jak przejść na nftables? [SOLVED]

Offline

 

#6  2020-11-05 14:57:04

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Jak przejść na nftables? [SOLVED]

developer napisał(-a):

Tłumaczenie reguł z iptables na nftables jest niezbyt skuteczne

Można poprosić o jakieś uzasadniernie tej teorii?

Tu masz napisane:

https://morfikov.github.io/post/migracja-z-iptables-na-nftables-w-debianie/ napisał(-a):

Reguły iptables można tłumaczyć jedna po drugiej lub też możemy przetłumaczyć je wszystkie naraz. Warto tutaj zaznaczyć, że te narzędzia do tłumaczenia reguł nie są w 100% akuratne i pewnych reguł nie będą w stanie przetłumaczyć (zwykle tych, które nie są wspierane w nftables , np. reguły od ipset ). Cześć reguł nawet może zostać przetłumaczona błędnie poprzez zgubienie pewnych ich elementów, np. port docelowy, czy wychodzący interfejs sieciowy, itd. Niemniej jednak, większość standardowych reguł, które spotyka się zwykle na desktopach, powinna zostać przetłumaczona poprawnie bez większego problemu. Dobrze jest jednak po procesie translacji zweryfikować każdą pojedynczą regułę i porównać ją z tym co poddaliśmy tłumaczeniu, by wyeliminować jakiekolwiek nieścisłości, które mogłyby zaistnieć.

Ja jakość automatycznej translacji poznałem osobiście, kiedy tłumaczyłem regułki zawierające connlimit, hashlimit albo cgroup.
W czasie, kiedy migrowałem na nftables, 3/4 składni iptables ten translator nie rozumiał.
Wyłożył się nawet na takiej oto "niezwykle skomplikowanej" regułce:

Kod:

iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-inc 1

PS
Czy dziś sobie poradzi?
wersja:

Kod:

 iptables -V
iptables v1.8.5 (nf_tables)

mały test

Kod:

 iptables-translate  -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-inc 1
nft # -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-inc 1

Jak to jest prawidłowo przetłumaczone na składnię nftables, to jo jest franz posypka z domu kołocz. :P

Pozdro

Ostatnio edytowany przez Jacekalex (2020-11-05 15:02:01)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2020-11-05 16:38:23

  developer - Użytkownik

developer
Użytkownik
Zarejestrowany: 2014-03-20

Re: Jak przejść na nftables? [SOLVED]

Jacku: sugerujesz że

Kod:

iptables-translate

jest do bani?

Offline

 

#8  2020-11-05 17:47:33

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Jak przejść na nftables? [SOLVED]

Jest do bani, tzn. teraz nie wiem czy jest ale jak ja tłumaczyłem reguły to był i skończyłem na napisaniu wszystkich reguł od początku. xD

Offline

 

#9  2020-11-05 20:25:44

  mark - Użytkownik

mark
Użytkownik
Zarejestrowany: 2020-09-09

Re: Jak przejść na nftables? [SOLVED]

Dziękuję serdecznie wszystkim za rzeczową pomoc. Zainstalowałem dodatkowo Firewalld który wybawia mnie z kłopotu, no przynajmniej z początku, z kombinacjami nowych reguł zarządzania nftables. Firewalld wydaje się łatwiejszy na początek niż obsługa nftables. Potrzebuję go jako zapory dla notebooka nie serwera a więc wielu skomplikowanych reguł raczej nie będę potrzebował. Obie usługi startują wraz z systemem i o to mi chodziło aby jak najprędzej uruchomić nftables.

Chciałbym Was jeszcze zapytać, tak z ciekawości, dlaczego polecenia np. takie:

Kod:

iptables-save> save.txt

było niewykonywalne z konta root lecz przez sudo owszem i zadziałało dopiero poprzedzone % czyli tak:

Kod:

% iptables-save> save.txt

Naprowadziła mnie na ten przedrostek % strona:
https://wiki.nftables.org/wiki-nftables/index.php/M … s_to_nftables
Trochę dziwna jest ta składnia

Offline

 

#10  2020-11-06 04:14:22

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Jak przejść na nftables? [SOLVED]

Firewalld to kolejny utrudniacz, jeszcze będziesz prawdopodobnie kiedyś żałował jego instalacji, kiedy tylko będziesz potrzebował opcji, której firewalld nie przewiduje.
Ten problem dotyczy wszystkich demonów i ułatwuaczy, które mają myśleć lub coś robić zamiast użytkownika.

Co się tyczy migracji na desktopie, to nftables ma w brzuchu gotową konfigurację dla stacji roboczej, w Gentoo była od razu w /etc/nftables/, Debian ma konfigurację gotową dla workstation w pliku:

Kod:

/usr/share/doc/nftables/examples/workstation.nft

w folderze

Kod:

/usr/share/doc/nftables/examples/

ma z resztą dużo więcej ciekawych przykładów.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2020-11-06 13:17:57

  developer - Użytkownik

developer
Użytkownik
Zarejestrowany: 2014-03-20

Re: Jak przejść na nftables? [SOLVED]

mark napisał(-a):

Dziękuję serdecznie wszystkim za rzeczową pomoc. Zainstalowałem dodatkowo Firewalld który wybawia mnie z kłopotu, no przynajmniej z początku, z kombinacjami nowych reguł zarządzania nftables. Firewalld wydaje się łatwiejszy na początek niż obsługa nftables. Potrzebuję go jako zapory dla notebooka nie serwera a więc wielu skomplikowanych reguł raczej nie będę potrzebował. Obie usługi startują wraz z systemem i o to mi chodziło aby jak najprędzej uruchomić nftables.

Chciałbym Was jeszcze zapytać, tak z ciekawości, dlaczego polecenia np. takie:

Kod:

iptables-save> save.txt

było niewykonywalne z konta root lecz przez sudo owszem i zadziałało dopiero poprzedzone % czyli tak:

Kod:

% iptables-save> save.txt

Naprowadziła mnie na ten przedrostek % strona:
https://wiki.nftables.org/wiki-nftables/index.php/M … s_to_nftables
Trochę dziwna jest ta składnia

Ano dlatego, że działanie z konta root jest skrajnie niebezpieczne jak i niezalecane. Po to jest właśnie

Kod:

sudo

Offline

 

#12  2020-11-06 18:54:26

  mark - Użytkownik

mark
Użytkownik
Zarejestrowany: 2020-09-09

Re: Jak przejść na nftables? [SOLVED]

developer napisał(-a):

Ano dlatego, że działanie z konta root jest skrajnie niebezpieczne jak i niezalecane. Po to jest właśnie

Kod:

sudo

Ano tego właśnie nie pojmuję. Nie działam na koncie root lecz loguję root`a w terminal chcąc zarządzać systemem. Sudo w tym momencie stwarza wrażenie jakoby stało wyżej w hierarchii uprawnień od root ponieważ poważne zadanie z kwestii zabezpieczenia systemu wykonywalne jest z sudo a nie root. Kiedyś zainstalowałem sobie system Mint bez uprawnień sudo dla użytkownika. Nie wiedziałem wtedy jak przydzielić sobie sudo więc zapytałem na Forum. Odpowiedź jednego z moderatorów była taka: "po co ci sudo to niebezpieczne, ja zarządzam root`em i tak jest bezpieczniej."
Pomijając kwestię tego aby być świadomym swoich działań to przecież sudo daje takie same możliwości administratorskie jak root. W tym konkretnym przypadku chyba nawet większe.

@Jacekalex dziękuję Ci za wskazanie

Kod:

/usr/share/doc/nftables/examples/workstation.nft

gdybyś tylko podpowiedział mi jakim poleceniem zaimplementować ten plik dla nftables.

Ostatnio edytowany przez mark (2020-11-06 18:55:55)

Offline

 

#13  2020-11-06 19:14:07

  ilin - Palacz

ilin
Palacz
Skąd: PRLu
Zarejestrowany: 2006-05-03

Re: Jak przejść na nftables? [SOLVED]

Jak się logujesz na tego roota

Przez

Kod:

su

czy

Kod:

su -

Sudo służy do zupełnie czegoś innego.


Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Polski portal Debiana

Offline

 

#14  2020-11-06 19:27:50

  mark - Użytkownik

mark
Użytkownik
Zarejestrowany: 2020-09-09

Re: Jak przejść na nftables? [SOLVED]

ilin napisał(-a):

Jak się logujesz na tego roota

Przez

Kod:

su

czy

Kod:

su -

Sudo służy do zupełnie czegoś innego.

Przez su

Offline

 

#15  2020-11-06 19:28:53

  ilin - Palacz

ilin
Palacz
Skąd: PRLu
Zarejestrowany: 2006-05-03

Re: Jak przejść na nftables? [SOLVED]

W debianie logujemy się na roota poprzez

Kod:

su -

Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Polski portal Debiana

Offline

 

#16  2020-11-06 20:23:56

  samu - Stały bywalec

samu
Stały bywalec
Skąd: ~/.linux/dug
Zarejestrowany: 2011-06-15

Re: Jak przejść na nftables? [SOLVED]

Można też i w ten sposób podnosić uprawnienia

Kod:

sudo -i

Ostatnio edytowany przez samu (2020-11-06 20:27:20)


https://www.debian.org/logos/button-mini.png

Offline

 

#17  2020-11-06 23:55:31

  developer - Użytkownik

developer
Użytkownik
Zarejestrowany: 2014-03-20

Re: Jak przejść na nftables? [SOLVED]

samu napisał(-a):

Można też i w ten sposób podnosić uprawnienia

Kod:

sudo -i

tak, można. Tylko że

Kod:

sudo -i

działa per komenda, natomiast

Kod:

su -

jakby "wstrzykuje" usera do sesji root

Offline

 

#18  2020-11-07 12:05:07

  mark - Użytkownik

mark
Użytkownik
Zarejestrowany: 2020-09-09

Re: Jak przejść na nftables? [SOLVED]

Przepraszam Was że namieszałem w tym wątku z "su". Odbiega to dziebko od meritum zagadnienia z nftables więc jestem wdzięczny moderatorowi za wyrozumiałość. Nie każdemu bliskie są powyższe aspekty stosowania uprawnień linuksowych. Najgorsze bywa utrwalenie pewnych stereotypów zachowań, jak w moim przypadku, tylko "su" i tego się trzymałem do momentu napotkania przeszkody.
Teraz poprosiłbym o wskazówkę - jak wszczepić skrypt workstation.nft lub jemu podobne do nftables.

Offline

 

#19  2020-11-07 22:55:58

  developer - Użytkownik

developer
Użytkownik
Zarejestrowany: 2014-03-20

Re: Jak przejść na nftables? [SOLVED]

mark napisał(-a):

Przepraszam Was że namieszałem w tym wątku z "su". Odbiega to dziebko od meritum zagadnienia z nftables więc jestem wdzięczny moderatorowi za wyrozumiałość. Nie każdemu bliskie są powyższe aspekty stosowania uprawnień linuksowych. Najgorsze bywa utrwalenie pewnych stereotypów zachowań, jak w moim przypadku, tylko "su" i tego się trzymałem do momentu napotkania przeszkody.
Teraz poprosiłbym o wskazówkę - jak wszczepić skrypt workstation.nft lub jemu podobne do nftables.

Wszystko masz ładnie opisane pod tym linkiem.

Offline

 

#20  2020-11-08 11:20:31

  mark - Użytkownik

mark
Użytkownik
Zarejestrowany: 2020-09-09

Re: Jak przejść na nftables? [SOLVED]

developer napisał(-a):

Wszystko masz ładnie opisane pod tym linkiem.

Z tym linkiem zapoznałem się już wcześniej jednak z obawy aby czegoś nie sknocić pytałem. Jest opisane jak przejść z iptables do nftables. Ja mam uruchomioną usługę nftables i jedyne co mnie interesuje nie jest tłumaczenie starych reguł iptables lecz po prostu zaimplementowanie gotowca z:

Kod:

/usr/share/doc/nftables/examples/workstation.nft

Czy jeżeli zrobię w ten sposób poniższy będzie właściwie?

Kod:

% nft -f workstation.nft

Offline

 

#21  2020-11-08 12:07:00

  samu - Stały bywalec

samu
Stały bywalec
Skąd: ~/.linux/dug
Zarejestrowany: 2011-06-15

Re: Jak przejść na nftables? [SOLVED]

A ten lamerski sposób sprawdził? @mark

Kod:

cp /usr/share/doc/nftables/examples/workstation.nft /etc/nftables.conf

https://www.debian.org/logos/button-mini.png

Offline

 

#22  2020-11-08 12:17:42

  mark - Użytkownik

mark
Użytkownik
Zarejestrowany: 2020-09-09

Re: Jak przejść na nftables? [SOLVED]

samu napisał(-a):

A ten lamerski sposób sprawdził? @mark

Kod:

cp /usr/share/doc/nftables/examples/workstation.nft /etc/nftables.conf

Może lamerski lecz skuteczny. Dzięki!

Offline

 

#23  2020-11-08 12:19:44

  samu - Stały bywalec

samu
Stały bywalec
Skąd: ~/.linux/dug
Zarejestrowany: 2011-06-15

Re: Jak przejść na nftables? [SOLVED]

Po powyższym daj

Kod:

# systemctl enable --now nftables

https://www.debian.org/logos/button-mini.png

Offline

 

#24  2023-04-01 15:09:23

  macios4x - Użytkownik

macios4x
Użytkownik
Zarejestrowany: 2012-12-10

Re: Jak przejść na nftables? [SOLVED]

Odkopię temat, zastanawiam się nad migracją z iptables na nftables ale jednak nie ma co, przynajmniej na razie, brakuje wciąż kilku opcji, na przykład:

Kod:

15:07[user1@arch ~]$ iptables-translate -P INPUT ACCEPT
Translation not implemented
nft 15:07[user1@arch ~]$ iptables-translate -P OUTPUT ACCEPT
Translation not implemented
nft 15:07[user1@arch ~]$ iptables-translate -P OUTPUT DROP
Translation not implemented

Chyba że jest inny sposób, ale przecieć nftables jest już trochę czasu a mimo to wciąż ma braki.


Zwolennik Open Source, użytkownik Arch, Debian

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)