Nft-Firewall blockiert trotz accept Regeln den gesamten Verkehr

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
daer2095
Beiträge: 6
Registriert: 02.02.2021 17:00:09

Nft-Firewall blockiert trotz accept Regeln den gesamten Verkehr

Beitrag von daer2095 » 02.02.2021 17:12:07

Ich versuche eine Firewall mit nftabels zu erstellen. Ich möchte, dass die Firewall meinem Browser Firefox den Internetzugang ermöglicht und alle anderen Daten blockiert. (Whitelist) Aber wenn ich nft starte, habe ich überhaupt keinen Internetzugang, obwohl ich accept Regeln erstellt habe.


Dies ist die Datei etc/nftables.conf:

Code: Alles auswählen

#!/usr/sbin/nft -f

flush ruleset;

table inet filter {

			chain input {
				type filter hook input priority 0; policy accept;
			}
			
			chain forward {
				type filter hook forward priority 0; policy accept;
			}

			chain output {
				type filter hook output priority 0;  policy drop;
					tcp dport 80 accept
					tcp dport 443 accept
				}
}



wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Nft-Firewall blockiert trotz accept Regeln den gesamten Verkehr

Beitrag von wanne » 02.02.2021 18:04:17

DU blockst ICMP, DHCP und DNS. Natürlich tut da nichts.
Als letzten Kommentar der dich natürlich wieder nicht von einem Vorhaben abbringen lassen wird:
99% der Malware wird genau auf diese Regel matchen:

Code: Alles auswählen

tcp dport 443 accept
Genau so wie 4 von 5 neuere proprietäre Software-Lösungen das jetzt zumindest als Backup machen machen.
Seit der Erfindung des Overlay-netzwerken wird keine derartige Firewall deine Sicherheit ernsthaft erhöhen. Alles was du (und die ganzen Leute die ähnliche Firewalls bauen) machst ist, debugging zu erschweren indem keiner mehr Standardkonforme Ports sondern 443 nutzt, moderne (im Sinne von 90er Jahre modern) performantere Alternativen zu TCP (mtcp, sctp, quick) zu blockieren und Anwendungsetwickler dazu zwingen einen riesen Haufen Bloat in ihre Software einzubauen, damit die deine dämliche Firewall umgehen kann.
rot: Moderator wanne spricht, default: User wanne spricht.

daer2095
Beiträge: 6
Registriert: 02.02.2021 17:00:09

Re: Nft-Firewall blockiert trotz accept Regeln den gesamten Verkehr

Beitrag von daer2095 » 03.02.2021 08:41:08

Danke, hat mir sehr weitergeholfen.

Antworten