Konfiguracja firewalla nftables na Linux – krok po kroku

🔥 Co to jest nftables?

nftables to framework jądra Linux do filtrowania pakietów sieciowych i manipulacji ruchem. Zastępuje stare iptables, oferując czytelniejszą składnię i większe możliwości.

🛠️ Krok 1: Instalacja nftables

Na Debianie/Ubuntu:

sudo apt update
sudo apt install nftables

Na Red Hat/CentOS/Fedora:

sudo dnf install nftables

🔧 Krok 2: Uruchomienie i włączenie usługi

sudo systemctl start nftables
sudo systemctl enable nftables

🔧 Krok 3: Podstawowa konfiguracja – tworzenie tablicy i łańcuchów

Edytuj plik konfiguracyjny, np. /etc/nftables.conf, lub używaj polecenia nft bezpośrednio.

Przykładowa konfiguracja:

table inet filter {
    chain input {
        type filter hook input priority 0; policy drop;

        # Zezwól na ruch lokalny i loopback
        iif lo accept
        ct state established,related accept

        # Zezwól na SSH (port 22)
        tcp dport 22 accept

        # Zezwól na HTTP i HTTPS
        tcp dport { 80, 443 } accept

        # Odrzuć wszystko inne
        reject with icmp type port-unreachable
    }

    chain forward {
        type filter hook forward priority 0; policy drop;
    }

    chain output {
        type filter hook output priority 0; policy accept;
    }
}

🔧 Krok 4: Załaduj konfigurację

Zapisz plik i załaduj:

sudo nft -f /etc/nftables.conf

Sprawdź aktualne reguły:

sudo nft list ruleset

🔧 Krok 5: Podstawowe komendy nftables

• Dodanie reguły na żywo:

sudo nft add rule inet filter input tcp dport 2222 accept

• Usunięcie reguły:

sudo nft delete rule inet filter input handle <handle_number>

• Listowanie reguł z numerami uchwytów (handle):

sudo nft list chain inet filter input

🔧 Krok 6: Blokowanie i limitowanie połączeń

• Ograniczenie liczby połączeń na SSH (ochrona przed brute-force):

sudo nft add rule inet filter input tcp dport 22 ct state new limit rate 3/minute accept

• Blokowanie adresu IP:

sudo nft add rule inet filter input ip saddr 203.0.113.5 drop

🛡️ Dodatkowe wskazówki

• Po każdej zmianie konfiguracji warto zapisać aktualny zestaw reguł, aby był automatycznie ładowany przy starcie:

sudo nft list ruleset > /etc/nftables.conf

• Możesz integrować nftables z fail2ban i innymi narzędziami ochrony.

✅ Podsumowanie

nftables to nowoczesny i wydajny firewall, który warto poznać i wdrożyć na każdym serwerze Linux. Dzięki przejrzystej składni i potężnym funkcjom umożliwia zaawansowaną kontrolę ruchu sieciowego oraz skuteczną ochronę serwera.

Polecane wpisy

Jaki Linux jest najlżejszy?

Jaki Linux jest najlżejszy? Linux to popularny system operacyjny, który może być używany na szerokim spektrum urządzeń, od serwerów po Czytaj dalej

Użycie VPN i innych narzędzi sieciowych do wzmocnienia bezpieczeństwa Androida

🌐 Użycie VPN i innych narzędzi sieciowych do wzmocnienia bezpieczeństwa Androida 📌 Wprowadzenie Współczesny użytkownik smartfona narażony jest na setki Czytaj dalej