Mailserver und nftables.conf

[achim55]

Hallo,
ich richte gerade eine Mailserver unter Debian 11 ein und muss Ports auf der Maschine freigeben. Alle andere sollen gesperrt sein.
nftables ist noch recht neu für mich. Wäre die Conf so richtig und wie trage ich IPV6 mit den Ports ein ?

Gruß

#!/usr/sbin/nft -f
flush ruleset

table inet filter {
chain input {
type filter hook input priority 0; policy drop;
iif lo accept
ct state { established, related } accept
icmp type echo-request accept
icmpv6 type { echo-request, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } accept
tcp dport ssh accept
tcp dport { 587, 4190, 25, 465, 143, 993, 110, 995, 4190, 80, 443 } accept

udp dport 33434-33523 reject
}
}

[hec_tech]

Wenn du IPv4 und IPv6 trennen willst brauchst du 2 Tables:

table ip filter und table ipv6 filter

Sieve hast du doppelt drinnen.

lg
Gregor

[piotrusch]

Ich bin kein Experte für nftables, aber ein paar Bemerkungen hätte ich:

- mit "inet" sprichst du beide Protokolle an, insofern ist der Hinweis von hec_tech vielleicht nicht nötig
- Ports 80 und 443 sind für das Web-Frontend?
- Die unverschlüsselten Ports sind für TLS geöffnet oder soll es auch unverschlüsselte Kommunikation geben?
- wieso werden dports 33434-33523 explizit geblockt

Ich kann dir die wiki-Seiten von nftables direkt und von archlinux empfehlen. Dort habe ich mir viele Infos geholt.