모두에게 좋은 하루 되세요!
우선, 저는 Linux 초보자이고 StackExchange를 처음 접하는 사람이므로 올바른 방식으로 질문하고 있기를 바랍니다.
새로운 AlmaLinux 설치(v9.1, 최소 설치, 헤드리스 관리 및 보안 도구)에서 nftables를 방화벽으로 사용하고 싶습니다. 방화벽이 방해가 되는 것을 방지하기 위해 다음을 사용하여 방화벽을 비활성화했습니다.
'''
# systemctl disable firewalld
# systemctl stop firewalld
# systemctl mask firewalld
'''
그런 다음 nfs 패키지를 설치하고 1.0.4-2-el9로 업데이트하고 다음을 사용하여 서비스를 시작했습니다.
'''
# systemctl enable nftables
# systemctl start nftables
'''
내 의도는 ip6을 사용하고 싶지 않기 때문에 ip(v4)와 ip6(inet를 사용하는 대신)에 대해 별도의 테이블을 만드는 것이었습니다. 별도의 IP6 테이블을 생성할 때 이를 사용하여 모든 IP6 트래픽을 삭제하고 자체 IP 테이블에서 IP(v4) 관리에 집중할 수 있습니다. 설정은 2개의 인터페이스입니다. 하나는 들어오는 WAN 트래픽(방화벽/라우터를 통과한 후)용이고 다른 하나는 LAN 포함을 향합니다. 서버 관리. 현재 인터페이스는 모두 10.0.0.0/24에 있지만 DMZ를 생성하려면 DMZ에 대한 WAN 인터페이스만 구성하면 됩니다.
그래서 다음을 사용하여 테이블을 만들었습니다.
'''
# nft add table ip firewall4
# nft add table ip6 firewall6
# nft list tables
'''
두 테이블이 모두 존재하는지 확인합니다.
새 체인을 추가하고 다음을 사용하여 내용을 확인했습니다.
'''
# nft add chain ip6 firewall6 input { type filter hook input priority 0\; }
# nft list table ip6 firewall6
'''
내가 무엇을 하든, 무엇을 바꾸든 내가 계속 얻는 결과는 다음과 같습니다.
'''
table ip6 firewall6 {
chain input {
type filter hook input priority filter; policy accept;
}
}
'''
다른 우선순위(예: 1)를 시도하면 "필터 후크 입력 우선순위 필터 +1; 정책을 입력합니다. 전체 명령을 입력하여 체인을 삭제하고 다시 삽입합니다(up up이 아님).
어디에서나 모든 예제/방법/문서에서 "우선순위 0"을 볼 수 있습니다. "우선순위 필터"가 올바른지 확실하지 않으며 "필터"가 "0"과 다르기 때문에 추가할 체인과 규칙이 무시될 수 있다는 두려움과 "필터"의 우선순위가 어떻게 지정되는지 이해하지 못합니다. 같은 테이블의 다른 체인.
그래서 내 질문은 다음과 같습니다
- "우선순위 필터"가 괜찮나요? 아니면 테이블에 더 추가하면 변경되나요?
- 괜찮지 않다면 우선적으로 가치를 얻으려면 어떻게 해야 합니까?
모두에게 미리 감사드립니다!
답변1
체인 우선순위로 사용되는 경우 키워드는 filter0으로 변환되고 그 반대의 경우도 마찬가지입니다(값이 약간 다른 브리지 계열 제외). 이전 버전에서는 nftables이 내용이 표시되지 않았습니다. 최신 버전은 그렇습니다. 그 역할에는 변화가 없습니다.
출력이 우선순위를 해결하는 것을 방지하려면매뉴얼 페이지:
-y,--numeric-priority기본 체인 우선순위를 숫자로 표시합니다.
그것은 다음과 같습니다:
nft -y list ruleset
다른 옵션(예: -n)도 다른 작업과 함께 수행할 수 있습니다.
이 우선순위 값은 과거에 사용된 우선순위에서 비롯됩니다.iptables또는 Netfilter 자체 시설에 의해 제공되며 예를 들어 다음 항목에 설명되어 있습니다.nftables' 위키가 있습니다:Netfilter_hooks - Priority_within_hook
nftables 제품군 일반적인 후크 nft 키워드 값 넷필터 내부 우선순위 설명 [...] inet, ip, ip6, arp, netdev 모두 필터 0 NF_IP_PRI_FILTER 필터링 작업, 필터 테이블 [...]
또한 우선순위는 동일한 테이블의 체인 우선순위가 아니라 동일한 테이블의 체인 우선순위에 관한 것입니다.훅. 동일한 테이블에 있지만 서로 다른 후크(예: prerouting또는 forward)가 있는 두 체인은 비교된 우선순위를 얻지 못합니다. 후크 이름이 이미 순서를 정의합니다. 동일한 테이블에 있지 않더라도 동일한 후크 및 패밀리 내의 체인만 먼저 평가되는 체인을 파악하기 위해 우선 순위를 갖습니다. 각 제품군에서 후크당 하나의 체인만 사용하는 경우 이 값은 그다지 중요하지 않습니다. Netfilter의 자체 기능과 관련하여 여전히 중요할 수 있습니다: 사전 라우팅/조각 모음은 -400, 사전 라우팅/추적 작업은 -200 등입니다.