Огромное спасибо!!! 2024 год, но до сих пор статей про nftables кот наплакал.

Огромное спасибо за такое шикарное обучение!!!! Стал немного понимать, что мой openwrt делает

Благодарю тебя. Искал материал что бы понять суть написания фаервола. Твоя подача материала, то что надо. Я восхищаюсь тобой, ты хороший человек. Занимаюсь самообучением и в целом понимание потихоньку приходит. Дома собрал лабу из физического железа. Paket tracer не дает полного погружения в атмосферу. Использую как шинду так и линукс. Микротик и сиську. Сразу по всем фронтам так сказать. И вот застрял на написании фаервола, нет легкого в понимании объяснения, что бы понять суть и применить это к своей схеме. И вот ютубе дает это в рекомендациях. А искал так iptables, firewall. И выдавало что то на непонятном начинающему языке. Тебе премию человека года.)))

"Можно по медленнее я записываю" ))))) Шучу. Спасибо за подробное изложение

Спасибо за материал. Кстати, чтобы постоянно смотреть обновленные правила необязательно писать скрипт. Есть отличная команда watch. Т.е. watch -n 1 'nft list ruleset' будет делать тоже что и ваш скрипт.

Хасан, спасибо большое, прекрасное видео, продолжай в том же духе) надеюсь выпустишь курс по линукс)

огромное спасибо, очень последовательно и понятно !

Спасибо, подача материала супер!

Отличный гайд. Спасибо

Шикарное видео, большое спасибо! Подписка, лайк!

Здраствуйте, все работает)) Позволите пару вопросов по существу: 1) Можноли дабовлять фильтрацию по мак адресу для 80,443,53 портов или это через чур. Или всетаки будет более безопасным и ни лишним. 2) Как лудше сделать и большая ли разница: В таблице инпупт сразу поставить drop Или лудше в конце поставить: nft add rule ip filter INPUT counter drop

очень вовремя, спасибо

Можно разобрать смыслы что-куда-зачем про "цепочки" { type filter hook input priority 0 \; policy accept \; }

Здраствуйте, подача очень хорошая, разжованая и понятная... Благодарю :) Хочу для домашнего компютера настроить компютер максимально безопасно, по этому пару уточнений если позволите. 1) Для домашнего использования lo интерфейс обезательно должен быть открыт или нет. В iptables обычно закрывал. 2) В таблице iptables использовал: iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT Какая команда будет равноссильна в nft ? И нужно ли ее применять? 3) Можете привести пример или варианты* для максимальной безопасности для домашнего пользователя. Предпологаю идельно все порты закрыть как входящие так и исходящие и открыть только нужные порты: tcp 80,443 udp 53 порт для торента и для докера... Как это сделать правильно и правильноли будет так? Будет здорово и многим полезным сделать дополнительное видео, ведь защищать домашние компюторы очень нужно! :) Так же будет замечательно если вы в одельном примере от этого так же по кажите такой пример: Когда нужно что бы на реальной машине небыло интернета только обновление linux системы. А на виртуальной машине было настроено и проброшено так как вы надеюсь покажите в первом примере для домашнего использование. Как это сделать правильно? Буду благодарен за обратную связь

Добрый вечер, еще один вопрос интерисует: Если на output (изходящие) ставить drop, то что нужно открыть что бы система нормально функционировала. Правильно ли будет ставить на OUTPUT такие правило, и достаточноли этого если правильно: nft add rule ip filter OUTPUT ct state invalid counter drop nft add rule ip filter OUTPUT ct state established counter accept nft add rule ip filter OUTPUT counter drop Хотя помню что то что большими буквами это всего лишь имя, и тогда получается что это дубликация что и в инпуте. Или для output будет правильней в таблице поставить дроп, если да то опять тот-же вопрос, что нужно тогда открыть, какие правила вписать для нормального функционирования системы? Помню когда я в iptables на output ставил дроп то сеть перестовала работать, а огда делал это через gufw то все норм. Подскажите пожалуйста

Здравствуйте. То что вы показали с файлом это не работает и ломает полностью nftables. Потом просто пишет консоль nft нет такой команды. И в 2023 Debian 12 этот скрипт как вы показали не работает .

всё круто, только небольшое замечание DNS использует как UDP так и TCP (DNS uses TCP Port 53 for zone transfers)

Спасибо, отличное видео.

Еще один вопрос забыл написать, по поводу ipv6 Если мы указывает правила на ipv4 то ipv6 по умолчанию порты будут открыты, верно? Если это так: то получается конце правил ipv4 нужно добавить еще одну таблицу для ipv6 только с уже везде с drop?

Какой-то шибанк слышал, watch не слышал, да 😂

Большое спасибо! Весьма доступно объяснили. В гайдах на сайтах вообще ничего не объясняют(

Здраствуйте, до сих пор ни осилил это сохранения... Все делаю по пунктикам, ошибок ни каких нету, только почему то сейчас при nft list ruleset правила ни появляются. Если делаю скрипт, в скрипте прописываю правила. Затем название скрипта, и как понимаю после этого должны они перенеститсь правила в rules. (вобщем они должны сконфигурироваться) но этого почему то ни произходит. Это произошло после того как я удалил правила по умолчанию по пути: /usr/sbin/nft Потом заново создал этот файл: touch nft И дал разрешение: chmod 755 nft После того как перезагрузился при попытки просмотреть правила которые создовал "nft list ruleset " правила перестали пояляться... Подскажите пожалуйста, как мне исправить это?

Спасибо

Можно было через watch запустить

Отличное видео. Спасибо.