nftable - simple Eintragung für Homeserver - chatgpt

[freakazo!d]

Sers!

Ich benötige einen simplen Eintrag für die nftables.conf für einen Homeserver. Alles was ungefragt reinkommen will, soll gesperrt werden; alles was rausgeht, darf rausgehn. Und dann noch eine Freigabe für Samba im Heimnetz (Port 445) für einen einzigen Rechner, sowie Pings. Das einzig Spezielle ist, dass ich mit zwei Netzwerkbrücken (br0 und br1) arbeite, die sich gegenseitig nicht behelligen sollen. Das hab ich chatgpt vorgegeben und nach längerem Hin und Her, hat es mir das hier ausgespuckt, was nach einem Test sich als funktional gezeigt hat - nur weiss ich absolut garnichts von nftables, habe bisher einfach nur ufw genutzt und möchte daher hier fragen, ob mal jemand kurz drüberschauen kann - taugt dieser Eintrag was?

#!/usr/sbin/nft -f

table inet filter {

####################
# INPUT chain - Host-Zugriffe
####################
chain input {
type filter hook input priority 0;
policy drop;

# Alles bestehende/related erlauben
ct state established,related accept

# Host loopback
iif lo accept

# Samba nur für Heimnetz erlauben
ip saddr 192.168.178.22 tcp dport 445 accept

# Optional: ICMP Ping aus Heimnetz erlauben
#ip saddr 192.168.178.0/24 icmp type echo-request accept
}

####################
# FORWARD chain - VM Traffic unangetastet lassen
####################
chain forward {
type filter hook forward priority 0;

# Blockiere Verkehr Heim- und Gastnetz (br0 und br1)
iif "br0" oif "br1" drop
iif "br1" oif "br0" drop

# Standard: alles andere durchlassen
policy accept

# Alle Forward-Pakete passieren ungehindert
# VMs verwalten ihre eigene Firewall intern
}

####################
# OUTPUT chain - Host ausgehend
####################
chain output {
type filter hook output priority 0;
policy accept
}
}

Ich werde gerne weitere Infos liefern, falls benötigt.

Gruß und Danke schonmal!

 

[74181]

Sieht gar nicht so schlecht aus. Könnte funktionieren.

Wenn um es um das Thema Sicherheit geht, solltest Du Dir eine Firewall aber nicht von einer KI generieren lassen. Arbeite Dich in das Thema ein. Die obige Konfiguration kannst Du als Startbasis nehmen.

 

[freakazo!d]

Lustigerweise ist mein Plan aber genau das: Ich möchte diesen Eintrag vornehmen und nie wieder anfassen müssen
Ich wollte etwas in nftables, was im Prinzip meiner bisherigen Firewallregel per UFW entspricht und das ist quasi das hier: ufw allow from 192.168.178.xx proto tcp to any port 445
Nur weiss ich eben nur, dass ich von nftables garnix weiss und deswegen dacht ich, frag ich lieber mal jemand anders.
Natürlich wird darauf aufgebaut, falls irgendwann doch noch der Fall eintritt, dass ich andere Verbindungen etc aufbauen will.
Aber wie gesagt, dass wäre erstmal eine Regel sie alle zu knechten.

Danke für dein Meinung!