Nftables: differenze tra le versioni

Riga 30: Riga 30:
Quindi anche se l'eseguibile di riferimento cambia, il collegamento simboli no, ovvero i comandi continueranno ad essere dati digitando <code># iptables opzioni comando ecc.</code>.
Quindi anche se l'eseguibile di riferimento cambia, il collegamento simboli no, ovvero i comandi continueranno ad essere dati digitando <code># iptables opzioni comando ecc.</code>.


==Sintassi <code>nft</code>==
== Sintassi <code>nft</code> ==
Mostrare tutte le regole di tutte le tabelle (tutto in una parola):
Mostrare tutte le regole di tutte le tabelle (tutto in una parola):
<pre># nft list ruleset</pre>
<pre># nft list ruleset</pre>
Riga 43: Riga 43:
Come sopra, ma in più visualizzando anche gli ''handle'', ovvero i riferimenti univoci di ogni riga:
Come sopra, ma in più visualizzando anche gli ''handle'', ovvero i riferimenti univoci di ogni riga:
<pre># nft list table ip filter -a</pre>
<pre># nft list table ip filter -a</pre>
Noto quindi il riferimento di ogni riga è possibile ad esempio inserire una nuova regola subito dopo di essa:
Aggiungere una regola in coda a tutte le altre (in questo caso si accettano tutte le connessioni in entrata su "enp1s0" e dirette alla porta 6666):
<pre>nft add rule ip filter INPUT iifname "enp1s0" ct state new tcp dport 6666 counter accept</pre>
Inserire una nuova regola subito dopo quella avente identificativo "8":
<pre># nft add rule filter output position 8 ip daddr 127.0.0.8 drop</pre>
<pre># nft add rule filter output position 8 ip daddr 127.0.0.8 drop</pre>
dove si è supposto che la regola di riferimento avesse ''handle'' numero 8.<br>
Oppure eliminare una riga avente identificativo "8":
Oppure eliminare una riga, per esempio la numero 8:
<pre># nft delete rule filter output handle 8</pre>
<pre># nft delete rule filter output handle 8</pre>
Per maggiori informazioni sulla nuova sintassi si rimanda alla sezione ''Approfondimenti'' in coda a questa pagina.
Per maggiori informazioni sulla nuova sintassi si rimanda alla sezione ''Approfondimenti'' in coda a questa pagina.


===Caricare automaticamente le regole===
=== Caricare automaticamente le regole ===
Come nel caso di <code>iptables</code> tutte le regole dichiarate saranno perse al riavvio della macchina, ma al momento non esiste uno strumento come <code>iptables-persistent</code>.<br>
Come nel caso di <code>iptables</code> tutte le regole dichiarate saranno perse al riavvio della macchina, ma al momento non esiste uno strumento come <code>iptables-persistent</code>.<br>
Una soluzione può quindi essere quella di usare cron per far caricare in automatico ad ogni avvio un file testuale contenente tutte le regole del firewall.<br>
Una soluzione può quindi essere quella di usare cron per far caricare in automatico ad ogni avvio un file testuale contenente tutte le regole del firewall.<br>
3 155

contributi