Procedimento

1. Abra a configuração /etc/ssh/sshd_config em um editor de texto, por exemplo:

   # vi /etc/ssh/sshd_config

2. Mude a opção PasswordAuthentication para no:

   SenhaAutenticação não

   Em um sistema que não seja uma nova instalação padrão, verifique se PubkeyAuthentication no não foi definido e se a diretiva ChallengeResponseAuthentication está definida para no. Se você estiver conectado remotamente, não usando console ou acesso fora da banda, teste o processo de login baseado em chave antes de desativar a autenticação da senha.

3. Para utilizar a autenticação baseada em chaves com diretórios domésticos montados em NFS, habilite o use_nfs_home_dirs SELinux boolean:

   # setsebool -P use_nfs_home_dirs 1

4. Recarregue o daemon sshd para aplicar as mudanças:

   # systemctl reload sshd

Procedimento

1. Para gerar um par de chaves ECDSA para a versão 2 do protocolo SSH:

   $ ssh-keygen -t ecdsa
   Generating public/private ecdsa key pair.
   Enter file in which to save the key (/home/joesec/.ssh/id_ecdsa):
   Enter passphrase (empty for no passphrase):
   Enter same passphrase again:
   Your identification has been saved in /home/joesec/.ssh/id_ecdsa.
   Your public key has been saved in /home/joesec/.ssh/id_ecdsa.pub.
   The key fingerprint is:
   SHA256:Q/x+qms4j7PCQ0qFd09iZEFHA+SqwBKRNaU72oZfaCI joesec@localhost.example.com
   The key's randomart image is:
   +---[ECDSA 256]---+
   |.oo..o=++        |
   |.. o .oo .       |
   |. .. o. o        |
   |....o.+...       |
   |o.oo.o +S .      |
   |.=.+.   .o       |
   |E.*+.  .  . .    |
   |.=..+ +..  o     |
   |  .  oo*+o.      |
   +----[SHA256]-----+

   Você também pode gerar um par de chaves RSA usando a opção -t rsa com o comando ssh-keygen ou um par de chaves Ed25519, digitando o comando ssh-keygen -t ed25519.

2. Para copiar a chave pública para uma máquina remota:

   $ ssh-copy-id joesec@ssh-server-example.com
   /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
   joesec@ssh-server-example.com's password:
   ...
   Number of key(s) added: 1
   
   Now try logging into the machine, with: "ssh 'joesec@ssh-server-example.com'" and check to make sure that only the key(s) you wanted were added.

   Se você não usar o programa ssh-agent em sua sessão, o comando anterior copia a chave pública ~/.ssh/id*.pub modificada mais recentemente, caso ainda não esteja instalada. Para especificar outro arquivo de chave pública ou para priorizar chaves em arquivos sobre chaves armazenadas em cache na memória por ssh-agent, use o comando ssh-copy-id com a opção -i.

Etapas de verificação

1. Acesse o servidor OpenSSH sem fornecer nenhuma senha:

   $ ssh joesec@ssh-server-example.com
   Welcome message.
   ...
   Last login: Mon Nov 18 18:28:42 2019 from ::1

Procedimento

1. Para ver o status do serviço:

   # firewall-cmd --state

2. Para mais informações sobre o status do serviço, use o sub-comando systemctl status:

   # systemctl status firewalld
   firewalld.service - firewalld - dynamic firewall daemon
      Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor pr
      Active: active (running) since Mon 2017-12-18 16:05:15 CET; 50min ago
        Docs: man:firewalld(1)
    Main PID: 705 (firewalld)
       Tasks: 2 (limit: 4915)
      CGroup: /system.slice/firewalld.service
              └─705 /usr/bin/python3 -Es /usr/sbin/firewalld --nofork --nopid

Procedimento

1. Para desativar imediatamente o tráfego em rede, ligue o modo de pânico:

   # firewall-cmd --panic-on

Procedimento

1. Verifique se o serviço já não é permitido:

   # firewall-cmd --list-services
   ssh dhcpv6-client

2. Liste todos os serviços pré-definidos:

   # firewall-cmd --get-services
   RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry ...
   [trimmed for clarity]

3. Acrescente o serviço aos serviços permitidos:

   # firewall-cmd --add-service=<service-namee>

4. Faça com que as novas configurações sejam persistentes:

   # Firewall-cmd - tempo de execução a permanente

1. Comece o firewall-config e selecionar a zona de rede cujos serviços devem ser configurados.
2. Selecione a guia Services.
3. Selecione a caixa de seleção para cada tipo de serviço em que você deseja confiar ou desmarque a caixa de seleção para bloquear um serviço.

1. Comece o firewall-config ferramenta.
2. Selecione Permanent a partir do menu etiquetado Configuration. Ícones adicionais e botões de menu aparecem na parte inferior da janela Serviços.
3. Selecione o serviço que você deseja configurar.

1. Digite o seguinte comando para adicionar um serviço novo e vazio:

   $ firewall-cmd --new-service=service-name --permanent

2. Para adicionar um novo serviço usando um arquivo local, use o seguinte comando:

   $ firewall-cmd --new-service-from-file=service-name.xml --permanent

   Você pode mudar o nome do serviço com o --name=service-name opção.

3. Assim que as configurações do serviço são alteradas, uma cópia atualizada do serviço é colocada em /etc/firewalld/services/.

   Como root, você pode digitar o seguinte comando para copiar um serviço manualmente:

   # cp /usr/lib/firewalld/services/services/service-name.xml /etc/firewalld/services/service-name.xml

1. Comece o firewall-config e selecione a zona de rede cujas configurações você deseja alterar.
2. Selecione a aba Ports e clique no botão Adicionar, no lado direito. A janela Port and Protocol se abre.
3. Digite o número da porta ou intervalo de portas a permitir.
4. Selecione tcp ou udp a partir da lista.

1. Comece o firewall-config e selecione a zona de rede cujas configurações você deseja alterar.
2. Selecione a aba Protocols e clique no botão Add no lado direito. A janela Protocol se abre.
3. Selecione um protocolo da lista ou selecione a caixa de seleção Other Protocol e digite o protocolo no campo.

1. Inicie a ferramenta de configuração de firewall e selecione a zona de rede cujas configurações você deseja alterar.
2. Selecione a aba Source Port e clique no botão Add no lado direito. A janela Source Port se abre.
3. Digite o número da porta ou intervalo de portas a permitir. Selecione tcp ou udp da lista.

Procedimento

1. Para ver quais zonas estão disponíveis em seu sistema:

   # firewall-cmd --get-zones

   O comando firewall-cmd --get-zones exibe todas as zonas que estão disponíveis no sistema, mas não mostra nenhum detalhe para zonas específicas.

2. Para ver informações detalhadas para todas as zonas:

   # firewall-cmd --list-all-zonas

3. Para ver informações detalhadas para uma zona específica:

   # firewall-cmd --zone=zone-name --list-all

Procedimento

1. Para trabalhar em uma zona diferente, use o --zone=zone-name opção. Por exemplo, para permitir o serviço SSH na zona public:

1. Exibir a zona padrão atual:

   # firewall-cmd --get-default-zone

2. Defina a nova zona padrão:

   # firewall-cmd --set-default-zone zone-nome

   Nota

   Seguindo este procedimento, a configuração é permanente, mesmo sem a opção --permanent.

1. Relacione as zonas ativas e as interfaces atribuídas a elas:

   # firewall-cmd --get-active-zones

2. Atribuir a interface a uma zona diferente:

   # firewall-cmd --zone=zone_name --change-interface=interface_name --permanente

Procedimento

1. Atribuir a zona ao perfil de conexão do NetworkManager:

   # nmcli conexão modificar profile connection.zone zone_name

2. Recarregue a conexão:

   # nmcli conexão acima profile

Procedimento

1. Para definir uma zona para uma conexão, edite o /etc/sysconfig/network-scripts/ifcfg-connection_name e acrescentar uma linha que atribua uma zona a esta conexão:

   ZONA=zone_name

1. Criar uma nova zona:

   # firewall-cmd --new-zone=zone-name

2. Verifique se a nova zona é adicionada a seus ajustes permanentes:

   # firewall-cmd --get-zones

3. Faça com que as novas configurações sejam persistentes:

   # Firewall-cmd - tempo de execução a permanente

1. Liste as informações para a zona específica para ver o alvo padrão:

   $ firewall-cmd --zone=zone-name --list-all

2. Estabelecer uma nova meta na zona:

   # firewall-cmd --permanent --zone=zone-name --set-target=<default|ACCEPT|REJECT|DROP>

Procedimento

1. Liste todas as zonas disponíveis:

   # firewall-cmd --get-zones

2. Adicione a fonte IP à zona de confiança no modo permanente:

   # firewall-cmd --zone=trusted --add-source=192.168.2.15

3. Faça com que as novas configurações sejam persistentes:

   # Firewall-cmd - tempo de execução a permanente

Procedimento

1. Liste as fontes permitidas para a zona requerida:

   # firewall-cmd --zone=zone-name --list-fontes

2. Remover a fonte da zona permanentemente:

   # firewall-cmd --zone=zone-name --remove-source=<source>

3. Faça com que as novas configurações sejam persistentes:

   # Firewall-cmd - tempo de execução a permanente

Procedimento

1. Para adicionar uma porta de origem:

   # firewall-cmd --zone=zone-name --add-source-port=<port-name>/<tcp|udp|sctp|dccp>

Procedimento

1. Para remover um porto de origem:

   # firewall-cmd --zone=zone-name --remove-source-port=<port-name>/<tcp|udp|sctp|dccp>

Procedimento

1. Liste todas as zonas disponíveis:

   # firewall-cmd --get-zones
   block dmz drop external home internal public trusted work

2. Adicione a fonte à zona de confiança para encaminhar o tráfego proveniente da fonte através da zona:

   # firewall-cmd --zone=trusted --add-source=192.168.1.0/24

3. Adicione o serviço http na zona de confiança:

   # firewall-cmd --zone=trusted --add-service=http

4. Faça com que as novas configurações sejam persistentes:

   # Firewall-cmd - tempo de execução a permanente

5. Verifique se a zona de confiança está ativa e se o serviço é permitido nela:

   # firewall-cmd --zone=trusted --list-all
   trusted (active)
   target: ACCEPT
   sources: 192.168.1.0/24
   services: http

1. Acrescentar o porto a ser encaminhado:

   # firewall-cmd --add-forward-port=port=port-number:proto=tcp|udp:toport=port-number:toaddr=IP

2. Habilitar o mascaramento:

   # firewall-cmd --add-masquerade

Procedimento

1. Redirecionar a porta 80 para a porta 88 para tráfego TCP:

   # firewall-cmd --add-forward-port=port=80:proto=tcp:toport=88

2. Faça com que as novas configurações sejam persistentes:

   # Firewall-cmd - tempo de execução a permanente

3. Verifique se o porto está redirecionado:

   # firewall-cmd --list-all

Procedimento

1. Retirar o porto encaminhado:

   # firewall-cmd --remove-forward-port=port=port-number:proto=<tcp|udp>:toport=port-number:toaddr=<IP>

2. Desativar mascarada:

   # firewall-cmd --remove-masquerade

Procedimento

1. Listar portos redirecionados:

   ~]# firewall-cmd --list-forward-ports
   port=80:proto=tcp:toport=88:toaddr=

2. Remover a porta redirecionada do firewall::

   ~]# firewall-cmd  --remove-forward-port=port=80:proto=tcp:toport=88:toaddr=

3. Faça com que as novas configurações sejam persistentes:

   ~]# firewall-cmd --operabilidade a permanente

Procedimento

1. Acrescente uma regra rica com uma precedência muito baixa para registrar todo o tráfego que não tenha sido igualado por outras regras:

   # firewall-cmd --add-rich-rule='rule priority=32767 log prefix="UNEXPECTED: "\valor limite="5/m"''

   O comando limita adicionalmente o número de entradas de registro a 5 por minuto.

2. Opcionalmente, exibir a regra nftables que o comando na etapa anterior criou:

   # nft list chain inet firewalld filter_IN_public_post
   table inet firewalld {
     chain filter_IN_public_post {
       log prefix "UNEXPECTED: " limit rate 5/minute
     }
   }

Procedimento

1. Passos que são necessários apenas uma vez:

   1. Opcionalmente, defina o dono do roteiro para root:

      # raiz de enxada /etc/nftables/example_firewall.nft

   2. Tornar o roteiro executável para o proprietário:

      # chmod u x /etc/nftables/example_firewall.nft

2. Execute o roteiro:

   # /etc/nftables/example_firewall.nft

   Se nenhuma saída for exibida, o sistema executou o script com sucesso.

   Importante

   Mesmo que nft execute o script com sucesso, regras colocadas incorretamente, parâmetros ausentes ou outros problemas no script podem fazer com que o firewall não se comporte como esperado.

Procedimento

1. Edite o arquivo /etc/sysconfig/nftables.conf.

   • Se você melhorar *.nft scripts criados em /etc/nftables/ ao instalar o pacote nftables, descomente a declaração include para estes scripts.

   • Se você escrever scripts a partir do zero, adicione declarações em include para incluir estes scripts. Por exemplo, para carregar o /etc/nftables/example.nft quando o serviço nftables for iniciado, acrescente:

     incluem "/etc/nftables/example.nft\"

2. Habilite o serviço nftables.

   # systemctl habilita nftables

3. Opcionalmente, inicie o serviço nftables para carregar as regras de firewall sem reiniciar o sistema:

   # systemctl start nftables

Procedimento

1. Use o comando nft add table para criar uma nova tabela. Por exemplo, para criar uma tabela chamada example_table que processa pacotes IPv4 e IPv6:

   # nft adicionar tabela inet exemplo_tabela

2. Opcionalmente, liste todas as tabelas do conjunto de regras:

   # nft list tables
   table inet example_table

Procedimento

1. Use o comando nft add chain para criar uma nova cadeia. Por exemplo, para criar uma cadeia chamada example_chain em example_table:

   # nft add chain inet example_table example_chain { type filter hook input priority 0 {\i1}; policy accept {\i1}

   Importante

   Para evitar que a casca interprete os ponto-e-vírgula como o fim do comando, você deve escapar dos pontos-e-vírgula com uma barra invertida.

   Esta corrente filtra os pacotes de entrada. O parâmetro priority especifica a ordem na qual nftables processa cadeias com o mesmo valor de gancho. Um valor de prioridade mais baixo tem precedência sobre os mais altos. O parâmetro policy define a ação padrão para as regras nesta cadeia. Observe que se você estiver conectado remotamente ao servidor e definir a política padrão para drop, você será desconectado imediatamente se nenhuma outra regra permitir o acesso remoto.

2. Opcionalmente, exibir todas as correntes:

   # nft list chains
   table inet example_table {
     chain example_chain {
       type filter hook input priority filter; policy accept;
     }
   }

Procedimento

1. Para adicionar uma nova regra, use o comando nft add rule. Por exemplo, para adicionar uma regra ao example_chain no example_table que permite o tráfego TCP na porta 22:

   # nft adicionar regra inet example_table example_chain tcp dport 22 accept

   Em vez do número da porta, você pode, alternativamente, especificar o nome do serviço. No exemplo, você poderia usar ssh em vez do número da porta 22. Observe que um nome de serviço é resolvido para um número de porta com base em sua entrada no arquivo /etc/services.

2. Opcionalmente, exibir todas as correntes e suas regras em example_table:

   # nft list table inet example_table
   table inet example_table {
     chain example_chain {
       type filter hook input priority filter; policy accept;
       ...
       tcp dport ssh accept
     }
   }

Procedimento

1. Para inserir uma nova regra, use o comando nft insert rule. Por exemplo, para inserir uma regra no example_chain no example_table que permite o tráfego TCP na porta 22:

   # nft inserir regra inet example_table example_chain tcp dport 22 accept

   Você pode, alternativamente, especificar o nome do serviço em vez do número da porta. No exemplo, você poderia usar ssh ao invés do número da porta 22. Observe que um nome de serviço é resolvido para um número de porta com base em sua entrada no arquivo /etc/services.

2. Opcionalmente, exibir todas as correntes e suas regras em example_table:

   # nft list table inet example_table
   table inet example_table {
     chain example_chain {
       type filter hook input priority filter; policy accept;
       tcp dport ssh accept
       ...
     }
   }

Procedimento

1. Criar uma mesa:

   # nft adicionar tabela nat

2. Acrescente as cadeias prerouting e postrouting à tabela:

   # nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; }
   # nft add chain nat postrouting { type nat hook postrouting priority 100 \; }

   Importante

   Mesmo que você não acrescente uma regra à cadeia prerouting, a estrutura nftables exige que esta cadeia corresponda às respostas dos pacotes recebidos.

   Observe que você deve passar a opção -- para o comando nft para evitar que o shell interprete o valor de prioridade negativa como uma opção do comando nft.

3. Adicione uma regra à cadeia postrouting que combine com os pacotes de saída na interface ens3:

   # nft add rule nat postrouting oifname"ens3" mascarada

Procedimento

1. Criar uma mesa:

   # nft adicionar tabela nat

2. Acrescente as cadeias prerouting e postrouting à tabela:

   # nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; }
   # nft add chain nat postrouting { type nat hook postrouting priority 100 \; }

   Importante

   Mesmo que você não acrescente uma regra à cadeia postrouting, a estrutura nftables exige que esta cadeia combine as respostas dos pacotes de saída.

   Observe que você deve passar a opção -- para o comando nft para evitar que o shell interprete o valor de prioridade negativa como uma opção do comando nft.

3. Adicione uma regra à cadeia postrouting que substitui o IP de origem dos pacotes de saída através de ens3 por 192.0.2.1:

   # nft add rule nat postrouting oifname"ens3" snat to 192.0.2.1

Procedimento

1. Criar uma mesa:

   # nft adicionar tabela nat

2. Acrescente as cadeias prerouting e postrouting à tabela:

   # nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; }
   # nft add chain nat postrouting { type nat hook postrouting priority 100 \; }

   Importante

   Mesmo que você não acrescente uma regra à cadeia postrouting, a estrutura nftables exige que esta cadeia combine as respostas dos pacotes de saída.

   Observe que você deve passar a opção -- para o comando nft para evitar que o shell interprete o valor de prioridade negativa como uma opção do comando nft.

3. Adicione uma regra à cadeia prerouting que redireciona o tráfego de entrada na interface ens3 enviada para a porta 80 e 443 para o host com o IP 192.0.2.1:

   # nft adicionar regra nat prerouting iifname ens3 tcp dport { 80, 443 } dnat a 192.0.2.1

4. Dependendo de seu ambiente, adicione uma regra SNAT ou mascarada para alterar o endereço de origem:

   1. Se a interface ens3 utilizava endereços IP dinâmicos, acrescente uma regra de mascaramento:

      # nft adicionar regra nat postrouting oifname {\i1}"ens3} mascarada

   2. Se a interface ens3 usa um endereço IP estático, adicione uma regra SNAT. Por exemplo, se o ens3 usa o endereço IP 198.51.100.1:

      nft adicionar a regra nat postrouting oifname {\i1}"ens3} snat a 198.51.100.1

Procedimento

1. Por exemplo, para adicionar uma regra a example_chain em example_table que permite o tráfego de entrada para a porta 22, 80 e 443:

   # nft adicionar regra inet example_table example_chain tcp dport { 22, 80, 443 } aceitar

2. Opcionalmente, exibir todas as correntes e suas regras em example_table:

   # nft list table inet example_table
   table inet example_table {
     chain example_chain {
       type filter hook input priority filter; policy accept;
       tcp dport { ssh, http, https } accept
     }
   }

Procedimento

1. Criar um conjunto vazio. Os exemplos a seguir criam um conjunto para endereços IPv4:

   • Para criar um conjunto que possa armazenar múltiplos endereços IPv4 individuais:

     # nft add set inet example_table example_set { type ipv4_addr }; }

   • Para criar um conjunto que possa armazenar faixas de endereços IPv4:

     # nft add set inet example_table example_set { type ipv4_addr \; flags interval \; }

   Importante

   Para evitar que a casca interprete os ponto-e-vírgula como o fim do comando, você deve escapar dos pontos-e-vírgula com uma barra invertida.

2. Opcionalmente, criar regras que utilizem o conjunto. Por exemplo, o seguinte comando adiciona uma regra ao example_chain no site example_table que irá descartar todos os pacotes de endereços IPv4 em example_set.

   # nft add rule inet example_table example_chain ip saddr @example_set drop

   Como example_set ainda está vazio, a regra atualmente não tem efeito.

3. Adicionar endereços IPv4 a example_set:

   • Se você criar um conjunto que armazene endereços IPv4 individuais, entre:

     # nft adicionar elemento inet example_table example_set { 192.0.2.1, 192.0.2.2 }

   • Se você criar um conjunto que armazene faixas IPv4, entre:

     # nft adicionar elemento inet example_table example_set { 192.0.2.0-192.0.2.255 }

     Quando você especifica uma faixa de endereços IP, você pode alternativamente usar a notação Classless Inter-Domain Routing (CIDR), como por exemplo 192.0.2.0/24 no exemplo acima.

Procedimento

1. Crie o example_table:

   # nft adicionar tabela inet exemplo_tabela

2. Criar a cadeia tcp_packets em example_table:

   # nft add chain inet exemplo_tabela tcp_packets

3. Adicione uma regra a tcp_packets que conta o tráfego nesta cadeia:

   # nft add rule inet example_table tcp_packets counter

4. Crie a cadeia udp_packets em example_table

   # nft add chain inet exemplo_tabela udp_packets

5. Adicione uma regra a udp_packets que conta o tráfego nesta cadeia:

   # nft add rule inet example_table udp_packets counter

6. Criar uma cadeia para o tráfego de entrada. Por exemplo, para criar uma cadeia chamada incoming_traffic em example_table que filtra o tráfego de entrada:

   # nft add chain inet example_table incoming_traffic { type filter hook input priority 0 { type filter hook input priority 0}; }

7. Adicione uma regra com um mapa literal a incoming_traffic:

   # nft add rule inet example_table incoming_traffic ip protocol vmap { tcp : jump tcp_packets, udp : jump udp_packets }

   O mapa literal distingue os pacotes e os envia para as diferentes cadeias de contadores com base em seu protocolo.

8. Para listar os balcões de trânsito, exibir example_table:

   # nft list table inet example_table
   table inet example_table {
     chain tcp_packets {
       counter packets 36379 bytes 2103816
     }
   
     chain udp_packets {
       counter packets 10 bytes 1559
     }
   
     chain incoming_traffic {
       type filter hook input priority filter; policy accept;
       ip protocol vmap { tcp : jump tcp_packets, udp : jump udp_packets }
     }
   }

   Os balcões da cadeia tcp_packets e udp_packets exibem tanto o número de pacotes recebidos quanto o número de bytes.

Procedimento

1. Criar uma mesa. Por exemplo, para criar uma tabela chamada example_table que processa pacotes IPv4:

   # nft adicionar tabela ip exemplo_tabela

2. Criar uma corrente. Por exemplo, para criar uma cadeia chamada example_chain em example_table:

   # nft add chain ip example_table example_chain { type filter hook input priority 0 {\i1}; {\i1}

   Importante

   Para evitar que a casca interprete os ponto-e-vírgula como o fim do comando, você deve escapar dos pontos-e-vírgula com uma barra invertida.

3. Criar um mapa vazio. Por exemplo, para criar um mapa para endereços IPv4:

   # nft add map ip example_table example_map { type ipv4_addr : veredicto }

4. Criar regras que utilizem o mapa. Por exemplo, o seguinte comando adiciona uma regra a example_chain em example_table que aplica ações a endereços IPv4 que são ambos definidos em example_map:

   # nft add rule example_table example_chain ip saddr vmap @example_map

5. Adicionar endereços IPv4 e ações correspondentes a example_map:

   # nft adicionar elemento ip example_table example_map { 192.0.2.1 : aceitar, 192.0.2.2 : largar }

   Este exemplo define os mapeamentos de endereços IPv4 para ações. Em combinação com a regra criada acima, o firewall aceita pacotes de 192.0.2.1 e deixa cair pacotes de 192.0.2.2.

6. Opcionalmente, melhore o mapa adicionando outro endereço IP e declaração de ação:

   # nft adicionar elemento ip example_table example_map { 192.0.2.3 : aceitar }

7. Opcionalmente, remova uma entrada do mapa:

   # nft apagar elemento ip example_table example_map { 192.0.2.1 }

8. Opcionalmente, exibir o conjunto de regras:

   # nft list ruleset
   table ip example_table {
     map example_map {
       type ipv4_addr : verdict
       elements = { 192.0.2.2 : drop, 192.0.2.3 : accept }
     }
   
     chain example_chain {
       type filter hook input priority filter; policy accept;
       ip saddr vmap @example_map
     }
   }

Procedimento

1. Criar uma tabela com o nome nat com a família de endereços ip:

   # nft adicionar tabela ip nat

2. Acrescente as cadeias prerouting e postrouting à tabela:

   # nft -- adicionar prerouting de corrente ip nat { tipo nat hook prerouting priority -100 }; { tipo nat hook prerouting priority -100 }; { tipo nat hook prerouting priority -100 }

   Nota

   Passe a opção -- para o comando nft para evitar que a casca interprete o valor de prioridade negativa como uma opção do comando nft.

3. Adicionar uma regra à cadeia prerouting que redireciona os pacotes recebidos na porta 8022 para a porta local 22:

   # nft adicionar regra ip nat prerouting tcp dport 8022 redirecionar para :22

Procedimento

1. Criar uma tabela com o nome nat com a família de endereços ip:

   # nft adicionar tabela ip nat

2. Acrescente as cadeias prerouting e postrouting à tabela:

   # nft -- add chain ip nat prerouting { type nat hook prerouting priority -100 \; }
   # nft add chain ip nat postrouting { type nat hook postrouting priority 100 \; }

   Nota

   Passe a opção -- para o comando nft para evitar que a casca interprete o valor de prioridade negativa como uma opção do comando nft.

3. Adicione uma regra à cadeia prerouting que redireciona os pacotes recebidos na porta 443 para a mesma porta em 192.0.2.1:

   # nft adicionar regra ip nat prerouting tcp dport 443 dnat a 192.0.2.1

4. Adicione uma regra à cadeia postrouting para disfarçar o tráfego de saída:

   # nft adicionar regra ip daddr 192.0.2.1 mascarada

5. Habilitar o envio de pacotes:

   # echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/95-IPv4-forwarding.conf
   # sysctl -p /etc/sysctl.d/95-IPv4-forwarding.conf

Procedimento

1. Adicione uma regra que permite apenas duas conexões simultâneas à porta SSH (22) a partir de um endereço IPv4 e rejeita todas as outras conexões a partir do mesmo IP:

   # nft add rule ip example_table example_chain tcp dport ssh meter example_meter { ip saddr ct count over 2 } counter reject

2. Opcionalmente, exibir o medidor criado na etapa anterior:

   # nft list meter ip example_table example_meter
   table ip example_table {
     meter example_meter {
       type ipv4_addr
       size 65535
       elements = { 192.0.2.1 : ct count over 2 , 192.0.2.2 : ct count over 2  }
     }
   }

   A entrada elements exibe endereços que atualmente correspondem à regra. Neste exemplo, elements lista os endereços IP que têm conexões ativas com a porta SSH. Observe que a saída não exibe o número de conexões ativas ou se as conexões foram rejeitadas.

Procedimento

1. Criar a tabela filter com a família de endereços ip:

   # nft adicionar tabela ip filter

2. Acrescente a cadeia input à tabela filter:

   # nft add chain ip filter input { type filter hook input priority 0 { type hook input priority 0}; { type filter hook input priority 0}; { type filter hook input priority 0

3. Adicione um conjunto chamado denylist à tabela filter:

   # nft add set ip filter denylist { type ipv4_addr }; flags dynamic, timeout; timeout 5m; timeout

   Este comando cria um conjunto dinâmico para endereços IPv4. O parâmetro timeout 5m define que nftables remove automaticamente as entradas após 5 minutos do conjunto.

4. Adicionar uma regra que automaticamente adiciona o endereço IP de origem dos hosts que tentam estabelecer mais de dez novas conexões TCP dentro de um minuto ao conjunto denylist:

   # nft add rule ip filter input ip protocol tcp ct state new, unracked limit rate over 10/minute add @denylist { ip saddr }

5. Acrescente uma regra que abandone todas as conexões de endereços IP no conjunto denylist:

   # nft add rule ip filter input ip saddr @denylist drop

Procedimento

1. Adicione uma nova regra com o parâmetro counter à cadeia. O exemplo a seguir adiciona uma regra com um contador que permite o tráfego TCP na porta 22 e conta os pacotes e o tráfego que correspondem a esta regra:

   # nft adicionar regra inet example_table example_chain tcp dport 22 counter accept

2. Para exibir os valores do contador:

   # nft list ruleset
   table inet example_table {
     chain example_chain {
       type filter hook input priority filter; policy accept;
       tcp dport ssh counter packets 6872 bytes 105448565 accept
     }
   }

Procedimento

1. Mostrar as regras da corrente incluindo seus cabos:

   # nft --handle list chain inet example_table example_chain
   table inet example_table {
     chain example_chain { # handle 1
       type filter hook input priority filter; policy accept;
       tcp dport ssh accept # handle 4
     }
   }

2. Adicione o contador substituindo a regra, mas com o parâmetro counter. O exemplo a seguir substitui a regra exibida na etapa anterior e adiciona um contador:

   # nft replace rule inet example_table example_chain handle 4 tcp dport 22 counter accept

3. Para exibir os valores do contador:

   # nft list ruleset
   table inet example_table {
     chain example_chain {
       type filter hook input priority filter; policy accept;
       tcp dport ssh counter packets 6872 bytes 105448565 accept
     }
   }

Procedimento

1. Mostrar as regras da corrente incluindo seus cabos:

   # nft --handle list chain inet example_table example_chain
   table inet example_table {
     chain example_chain { # handle 1
       type filter hook input priority filter; policy accept;
       tcp dport ssh accept # handle 4
     }
   }

2. Adicione o recurso de rastreamento substituindo a regra, mas com os parâmetros meta nftrace set 1. O exemplo a seguir substitui a regra exibida na etapa anterior e permite o rastreamento:

   # nft replace rule inet example_table example_chain handle 4 tcp dport 22 meta nftrace set 1 accept

3. Use o comando nft monitor para exibir o rastreamento. O seguinte exemplo filtra a saída do comando para exibir somente as entradas que contenham inet example_table example_chain:

   # nft monitor | grep "inet example_table example_chain"
   trace id 3c5eb15e inet example_table example_chain packet: iif "enp1s0" ether saddr 52:54:00:17:ff:e4 ether daddr 52:54:00:72:2f:6e ip saddr 192.0.2.1 ip daddr 192.0.2.2 ip dscp cs0 ip ecn not-ect ip ttl 64 ip id 49710 ip protocol tcp ip length 60 tcp sport 56728 tcp dport ssh tcp flags == syn tcp window 64240
   trace id 3c5eb15e inet example_table example_chain rule tcp dport ssh nftrace set 1 accept (verdict accept)
   ...

   Atenção

   Dependendo do número de regras com rastreamento habilitado e da quantidade de tráfego correspondente, o comando nft monitor pode exibir uma grande quantidade de resultados. Use grep ou outras utilidades para filtrar a saída.