[Debienna] firehol -> nftables
Sascha Reißner
reiszner at novaplan.at
Wed Jan 8 05:14:09 CET 2025
Hi Sebastian,
dazu wäre auch interessant was Du machen willst.
Also ich lese nur herraus, dass Du eine Einwahlverbindung hast.
Klassisch mit einer dynamischen IP oder einer/mehrere fixe IPs?
willst Du Dienste anbieten oder zumindest von aussen via SSH rein, oder
soll gar nichts rein?
Ich selber arbeite seit über 15 Jahren mit iptables und das
funktioniert immer noch.
Ich glaub da gibt es eine Rückwertskompatibilität.
Hab dazu selber ein init-Script geschrieben (/etc/init.d/ipfilter) und
2 Configs. Eine, die die Interfaces und Netzwerke beschreiben und eine
mit den Regeln.
Dieses Script läuft an mehreren Standorten mit unterschiedlicher
Konfiguration.
Was es nicht kann ist zwischen mehreren internen Netzen filtern.
Mein Grundgedanke war, das innere Netz von Aussen zu schützen.
Ist aber durch Anpassungen auch sicher möglich zwischen internen Netzen
(DMZ?) zu differieren.
Ah, und IPv6 hab ich noch nicht wirklich was gemacht.
Aber ich schätze wenn man die Befehle iptables gegen ip6tables
austauscht, bekommt man auch schnell etwas funktionierendes.
Wenn Du (oder wer Anderer) Interesse daran hat, such ich die letzte
Version mal raus.
Am Dienstag, dem 07.01.2025 um 09:54 +0100 schrieb reox via Debienna:
> Hi!
>
> Ich plane meinen heimischen Router von firehol auf nftables zu ändern.
> Hat jemand das hier schon mal gemacht und hat ein paar Tipps?
> Insbesondere: Nimmt man heute überhaupt Plain-nftables? Firewalld wird
> oft empfohlen (zB auch im Debian Wiki) aber XML-Configs finde ich nicht
> schön... (Ja, ich kenne Elektra ;))
>
> Insbesondere was die "router" und IPv4/v6 dual Stack angeht verstehe ich
> das Prozerdere bei nftables noch nicht so ganz. Das nftables Wiki ist
> auch nicht so hilfreich, da dort meines Erachtens immer wieder andere
> Varianten gezeigt werden, die aber irgendwie nirgends erklärt werden.
> Eine dual Stack Konfiguration (idealerweise von A1 mit PPPoE) als
> Referenz würde mir vermutlich auch mal helfen!
>
> LG Sebastian
>
> _______________________________________________
> Debienna mailing list
> Debienna at lists.metalab.at
> https://lists.metalab.at/mailman/listinfo/debienna
--
mfG Sascha
GPG fingerprint: 5A68 F665 44E6 0E50 001C 75A6 92BB DD59 6C5F DC0F
GPG key:
https://pgp.mit.edu/pks/lookup?search=0x92BBDD596C5FDC0F&op=vindex&fing
erprint=on&exact=on
Was man weiß, kann man korrigieren. Was verborgen bleibt, ist eine
glimmende Zeitbombe.
-- Carl Friedrich von Weizsäcker
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: This is a digitally signed message part
URL: <http://lists.metalab.at/pipermail/debienna/attachments/20250108/64a00360/attachment.sig>
More information about the Debienna
mailing list