Видео

Bash с человеческим лицом!

Отличный урок!

При открытии портов в input "tcp dport {80, 8080} counter accept" получается что мы эти порты всем открываем и они без настройки prerouting будут доступны

А можно менять айпи на VPS где купил на другую?

Наконец-то понял так, что смогу объяснить другому! Спасибо автору!

а ещё можно параллельную компиляцию. То есть добавить к make deb-pkg ключ -j (количество ядер +1). Если этого не сделать, сборка идёт в 1 поток и занимает уйму времени. Так например на процессоре с 4мя ядрами делаем make deb-pkg -j5 . Процессор не простаивает и мы не теряем время. Если в /dev/shm достаточно места, то можно и там собирать, ещё быстрее будет. :) . Ну это когда у вас от 32гб озу минимум. Фокус с ключом -j работает практически везде где есть команда make.

Хасан, спасибо большое, прекрасное видео, продолжай в том же духе) надеюсь выпустишь курс по линукс)

Огромное спасибо!!! 2024 год, но до сих пор статей про nftables кот наплакал.

Здравствуйте. То что вы показали с файлом это не работает и ломает полностью nftables. Потом просто пишет консоль nft нет такой команды. И в 2023 Debian 12 этот скрипт как вы показали не работает .

а почему сразу не отредактировать файл nft.conf ? чисто в образовательных целях?

За подробность спасибо!

Добрый день. Подскажите как переключать получение dns адресов? (Автоматический или ручкой) Явно задаю DNS, смотрю текущие DNS и вижу что днс адреса провайдера. Если посмотреть в GUI то там в настройках установлено "получить автоматически". СПАСИБО

Молодец парнишка! А наи убунту nmcli присутствует?

огромное спасибо, очень последовательно и понятно !

Добрый день. Просьба о четвертой части. Работа со списками, аналог ipset

Здравствуйте. Хотел спросить такую штуку: можно ли прикрутить логирование к политике по-умолчанию (drop)?

Отличный гайд. Спасибо

Никогда не используйте bash скрипт для конфигурации nftables! Есть малая (но не нулевая) вероятность частичного применения правил. Для конфигурации используется nftables скрипт с шибангом #!/usr/sbin/nft -f правила в котором применяются атомарно в рамках одной транзакции

шпасиба!

спасибо, было бы здорово увидеть продвинутую часть

Спасибо

Шикарное видео, большое спасибо! Подписка, лайк!

классно

Хорошо объяснили, спасибо.

Спасибо за материал. Кстати, чтобы постоянно смотреть обновленные правила необязательно писать скрипт. Есть отличная команда watch. Т.е. watch -n 1 'nft list ruleset' будет делать тоже что и ваш скрипт.

Спасибо за ролик👍

Спасибо за труд. Хотелось бы немного узнать про Oper Key. Последнее время про него очень много говорят. Особенно в контексте когда нужно соединить в портчанел разновендорное оборудование.

Большое спасибо!

Спасибо большое за отличный вебкаст. Вопрос про сохранение правил. Все сделал как в вебкасте, в итоге nft list ruleset показывает мои правила + далее правила для таблиц ip6. Команда flush ruleset их не очистила? У меня виртуалка Centos 8 stream, если это важно.

есть ли у вас возможность записать вебкаст по сетам? iptables использовал в связке с ipset, слышал что у nft появились свои сеты, но информации пока не очень много по ним.

очень вовремя, спасибо

Добрый вечер, еще один вопрос интерисует: Если на output (изходящие) ставить drop, то что нужно открыть что бы система нормально функционировала. Правильно ли будет ставить на OUTPUT такие правило, и достаточноли этого если правильно: nft add rule ip filter OUTPUT ct state invalid counter drop nft add rule ip filter OUTPUT ct state established counter accept nft add rule ip filter OUTPUT counter drop Хотя помню что то что большими буквами это всего лишь имя, и тогда получается что это дубликация что и в инпуте. Или для output будет правильней в таблице поставить дроп, если да то опять тот-же вопрос, что нужно тогда открыть, какие правила вписать для нормального функционирования системы? Помню когда я в iptables на output ставил дроп то сеть перестовала работать, а огда делал это через gufw то все норм. Подскажите пожалуйста

Еще один вопрос забыл написать, по поводу ipv6 Если мы указывает правила на ipv4 то ipv6 по умолчанию порты будут открыты, верно? Если это так: то получается конце правил ipv4 нужно добавить еще одну таблицу для ipv6 только с уже везде с drop?

Здраствуйте, все работает)) Позволите пару вопросов по существу: 1) Можноли дабовлять фильтрацию по мак адресу для 80,443,53 портов или это через чур. Или всетаки будет более безопасным и ни лишним. 2) Как лудше сделать и большая ли разница: В таблице инпупт сразу поставить drop Или лудше в конце поставить: nft add rule ip filter INPUT counter drop

Удалось сохранить правила: ) postimg.cc/w7QWGVCZ Решение: postimg.cc/tn5h2rsz

Процес: upload.disroot.org/r/bzr_8J_y#RdeEYxkdR+4cVezVbhT7shDTWBGfbq54JBmYnpfSxps=

Запущена: postimg.cc/ft4wVBqB

Загрузился сновой копией... Сделал все по пунктикам, но после перезагрузки при воде "nft list ruleset" правила новые ни применились по чему то, только сахранились в nftables.conf Ни понимаю причины

Здраствуйте, до сих пор ни осилил это сохранения... Все делаю по пунктикам, ошибок ни каких нету, только почему то сейчас при nft list ruleset правила ни появляются. Если делаю скрипт, в скрипте прописываю правила. Затем название скрипта, и как понимаю после этого должны они перенеститсь правила в rules. (вобщем они должны сконфигурироваться) но этого почему то ни произходит. Это произошло после того как я удалил правила по умолчанию по пути: /usr/sbin/nft Потом заново создал этот файл: touch nft И дал разрешение: chmod 755 nft После того как перезагрузился при попытки просмотреть правила которые создовал "nft list ruleset " правила перестали пояляться... Подскажите пожалуйста, как мне исправить это?

круто. самый лучший вебкаст по nftables

Здраствуйте, сколько раз и как ни пробывал, ни удатся мне сохранить параметры nftables В nftables.conf сохранило, только после перезагрузки - водя команду nft list rules - Возрощается все по умолчанию.. Если в водить правила из терминала сохраняются правила так же или может как то иначе?

Здраствуйте, подача очень хорошая, разжованая и понятная... Благодарю :) Хочу для домашнего компютера настроить компютер максимально безопасно, по этому пару уточнений если позволите. 1) Для домашнего использования lo интерфейс обезательно должен быть открыт или нет. В iptables обычно закрывал. 2) В таблице iptables использовал: iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT Какая команда будет равноссильна в nft ? И нужно ли ее применять? 3) Можете привести пример или варианты* для максимальной безопасности для домашнего пользователя. Предпологаю идельно все порты закрыть как входящие так и исходящие и открыть только нужные порты: tcp 80,443 udp 53 порт для торента и для докера... Как это сделать правильно и правильноли будет так? Будет здорово и многим полезным сделать дополнительное видео, ведь защищать домашние компюторы очень нужно! :) Так же будет замечательно если вы в одельном примере от этого так же по кажите такой пример: Когда нужно что бы на реальной машине небыло интернета только обновление linux системы. А на виртуальной машине было настроено и проброшено так как вы надеюсь покажите в первом примере для домашнего использование. Как это сделать правильно? Буду благодарен за обратную связь

Утилитой nmcli можно заменить netplan для назначения статических и динамических адресов?

Дружище скинь текстовик свой которым пользуешься в данном ролике благодарб заранее!

Большое спасибо! Весьма доступно объяснили. В гайдах на сайтах вообще ничего не объясняют(

Спасибо, подача материала супер!

спасибо очень доходчиво объяснил, не так часто это встречаешь, хотелось бы углубленную 4 часть урока увидеть: использование переменных в скрипте, слышал есть конвертер какой-то из iptables в nstables, про него рассказать, еще как такие правила в nftables записывать iptables -A INPUT -i $INET_IF -m conntrack --ctstate NEW -p tcp --dport 80 -m hashlimit --hashlimit-upto 50/sec --hashlimit-burst 50 --hashlimit-mode srcip,srcport,dstip,dstport --hashlimit-name www -j ACCEPT сильно интересует именно --hashlimit-mode как выставлять флаги: iptables -A INPUT -p tcp --tcp-flags ALL RST,ACK,PSH,URG -j DROP и тонкости уже установленных соединений iptables -A INPUT -p tcp -m multiport --dports 80,443 -m connlimit --connlimit-above 21 --connlimit-mask 32 -j DROP рассказать как реализовать Port Knocking хотел уточнить, а разве не правильнее будет все таблицы по умолчанию дропать и еще все правила писать через ct state new делать, а в конце каждой цепочки ct state related,established : nft add rule ip filter INPUT ct state related,established counter accept nft add rule ip filter FORWARD ct state related,established counter accept nft add rule ip filter OUTPUT ct state related,established counter accept

Спасибо за наглдяный пример! но у меня не большой вопрос. Как заNAT-ить трафик если он идет с виртуального интерфейса, который появляется при подключении впн? В целом мне необходимо NAT-ить сеть в интернет без указания интерфейса?

Спасибо. Наглядно. Без лишней воды.

Отличное видео. Спасибо.