Instalacja:
apt install nftablesWyświetlenie aktualnych reguł, które są w pamięci:
nft list rulesetReguły są zapisane w pliku /etc/nftables.conf – plik jest wykonywalny więc można wywołując go przeładować reguły, aczkolwiek zaleca się wykonanie za pomocą polecenia do zarządzania usługami:
service nftables restartAutostart usługi:
systemctl enable --now nftablesDomyślny plik /etc/nftables.conf:
#!/usr/sbin/nft -f
flush ruleset
table inet filter {
chain input {
type filter hook input priority filter;
}
chain forward {
type filter hook forward priority filter;
}
chain output {
type filter hook output priority filter;
}
}
Przykładowy plik reguł /etc/nftables.conf:
#!/usr/sbin/nft -f
flush ruleset
define ipallow = { 1.2.3.0/24, 1.2.3.4 }
table ip global {
###INPUT
chain INPUT {
type filter hook input priority 0; policy drop;
ct state vmap { established : accept, related : accept, invalid : drop } counter
iifname lo counter accept
ip saddr $ipallow counter accept
ip saddr 22.33.44.0/24 meta l4proto 89 counter accept
tcp dport 25565 counter accept
udp dport 25565 counter accept
ip saddr 1.1.1.0/24 counter accept
icmp type echo-request limit rate 5/second counter accept
}
chain OUTPUT {
type filter hook output priority 0; policy accept;
counter accept
}
}