Начинаем работу с nf_tables

Подписаться 6 тыс.

Просмотров 7 тыс.

50% 1

В этом видео рассмотрим новый подход к обеспечению сетевой безопасности linux. Расскажем, как работает фильтрация пакетов, основанная на правилах nf_tables.
Этот канал посвящён теме поддержки сайтов: от технических аспектов системного администрирования до вопросов экономической эффективности технологий.
Занимаясь комплексной поддержкой сайтов более 16 лет, мы накопили значительный опыт, которым готовы делиться с помощью наших видео. Так что присоединяйтесь, будет интересно!
Профессиональная поддержка сайтов: www.methodlab.ru/price/suppor...
Тестирование скорости сайтов: xn--80aanaoiczhuihpc.xn--p1ai/
Сервис оптимизации картинок: www.fotorubka.ru/
Наш второй канал "Ускорение сайтов": / @nicklavlinsky
Группа "Ускорение сайтов" в VK: sitespeedup
Метод Лаб в VK: methodlab
Метод Лаб в Facebook: / methodlab.ru

Опубликовано:

29 май 2022

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 24

@arseniydementev9480 2 года назад

Расскажите про NAT (source, destination, masquarade) в nft. Можно вас попросить делать шрифт на терминале чуточку побольше в видео, при просмотреть с телефонов не особо хорошо читаются команды.

@demiurgen13 2 года назад

Очень здорово доносите и понятно объясняете материал, спасибо!

@klondike2009 2 года назад

Очень благодарен за материал, как раз искал по nft информацию, удачно попал на новое видео!

@ramilkamilov 2 года назад

Приятно слушать, продолжайте 🤝

@romansspats4812 2 года назад

Спасибо!

@maksym461 2 года назад

спасибо, хорошая база расскажите про блок "priority" , не до конца понял, какие значение что у него значат

@kosechok1 Год назад

Да очень интересно. Пожалуйста сделайте более подробные видео как делали по iptables

@site_support Год назад

А что конкретно вас интересует в подробностях?

@kosechok1 Год назад

@@site_support конечно же nat, редирект портов и тд

@nikitaalekseev991 5 месяцев назад

Спасибо, всё чётко и понятно. Скажите пожалуйста, а почему для ipv6 вы никаких правил не прописывали? Разве с ipv6 адресов не может приходить запросов?

@site_support 5 месяцев назад

IPv6 не используется в этом случае. Но можно все те же правила сделать в family inet, а не ip и они будут работать на любой версии IP.

@VilikSpb 3 месяца назад

Спасибо. Подскажите, на видео сервис nftables находится в режиме inactive, но при этом в правилах счетчик пакетов на ssh работает. Как это возможно?

@site_support Месяц назад

Сервис всего лишь занимается восстановлением правил при загрузке, более ни за что он не отвечает.

@alexeygrom1834 2 года назад

супер. да кстати надобы нат маскарад ну и всякие манглы

@site_support Год назад

Хорошо, посмотрим.

@Zeroxzed 2 года назад

Скажите, а в nft порядок правил имеет такое же значение, как в iptables? Пакеты так же ходят? Правила с established рекомендуется в начало ставить? Я смотрю, вы не стали этого делать.

@site_support Год назад

Порядок правил имеет значение. Надо ли established ставить в начало зависит от особенностей трафика.

@antoshabrain 2 года назад

норм. только не понял -> получается надо так же output тоже сделать и туда тоже правил навалить. и про сэты к сожалению нет инфы. по типу как в ipset. в целом полезная инфа, спасибо.

@site_support Год назад

Можно OUTPUT не ограничивать, тогда правила там не нужны. Если хотите полный контроль, то да - настаивайте правила, симметрично с INPUT.

@site_support Год назад

По сетам есть инфа: wiki.nftables.org/wiki-nftables/index.php/Sets

@antoshabrain Год назад

@@site_support благодарю

@StasPetuhov Год назад

Ужасно интересно!

@leozelion 2 года назад

Спасибо, как раз на Debian 11 перешёл, и вот те на, "iptables command not found", ушла эпоха :D а даунгрейдить неохота. Только вот вместо nft кажется пора уже bpfilter изучать) lpc.events/event/11/contributions/940/attachments/836/1644/bpfilter.pdf#page=25

@site_support Год назад

Насколько я понял, использование BPF для фильтрации пакетов это сложнее, чем через nft. Больше подходит для каких-то критичных ситуаций.