{"id":8983,"date":"2022-05-29T19:40:14","date_gmt":"2022-05-29T17:40:14","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=8983"},"modified":"2022-12-12T14:40:59","modified_gmt":"2022-12-12T12:40:59","slug":"einstiegt-in-nftables-so-funktioniert-die-neue-firewall-unterschiede-zu-iptables","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/einstiegt-in-nftables-so-funktioniert-die-neue-firewall-unterschiede-zu-iptables\/","title":{"rendered":"Einstiegt in nftables: So funktioniert die neue Firewall – Unterschiede zu iptables"},"content":{"rendered":"

Sowohl Nftables <\/strong>als auch Iptables <\/strong>erm\u00f6glichen grundlegende Funktionen einer Firewall, darunter etwa Netzwerkpakete anhand bestimmter Regeln zu filtern (erlauben\/blockieren), protokollieren oder umzuleiten. Network Adress Translation (NAT) kann ebenfalls umgesetzt werden. Dieser Beitrag soll Neulingen einen Einstieg in iptables <\/strong>erm\u00f6glichen. Zus\u00e4tzlich werden wir die Unterschiede zu iptables <\/strong>betrachten und die Frage beantworten, wieso es mit iptables <\/strong>und nftables <\/strong>zwei in ihrer Funktion recht \u00e4hnliche Werkzeuge gibt.<\/p>\n

Was ist eine Firewall?<\/h2>\n

Eine Firewall kann man sich wie einen T\u00fcrsteher vorstellen: Anhand selbst festgelegter Regeln sch\u00fctzt sie einen Computer oder das gesamtes Netzwerk vor unerw\u00fcnschten Netzwerkzugriffen. Beispielsweise kann man damit den Zugriff auf Dienste wie SSH nur f\u00fcr bestimmte IP-Adressen erlauben. Oder b\u00f6swillige IP-Adressen blockieren, sodass s\u00e4mtliche Verbindungsversuche von Ihnen abgelehnt werden. Es gibt Hardware-Firewalls, also physische Ger\u00e4te mit dieser Funktionalit\u00e4t. In nahezu jedem DSL-Modem ist beispielsweise eine Firewall eingebaut, um das Heimnetzwerk gegen\u00fcber dem Internet zu sch\u00fctzen. Man kann aber auch Software-Firewalls direkt auf dem zu sch\u00fctzenden Ger\u00e4t selbst installieren, etwa einem Computer oder Server. Grundlegende Funktionen daf\u00fcr bieten Nftables <\/strong>und Iptables<\/strong>.<\/p>\n

Was sind iptables?<\/h2>\n

Grundlage beider Projekte ist Netfilter<\/a>, eine seit 1998 existierende Softwareschicht im Linux-Kernel. Dazu geh\u00f6rt eine gleichnamige Bibliothek, mit der man auf bestimmte Ereignisse im Linux Network-Stack reagieren kann, wie z.B. eingehende oder Ausgehende Datenpakete. Iptables <\/strong>entstand ebenfalls 1998 und war das erste Kommandozeilenwerkzeug, um Filterregeln anzulegen. Die Regeln werden in Form von Tabellen dargestellt. Jede gibt an, was an einem Paket \u00fcberpr\u00fcft wird und was bei einer \u00dcbereinstimmung geschieht. Beispielsweise k\u00f6nnten Datenpakete von einer bestimmten IP-Adresse oder einem Port erlaubt oder verworfen werden.<\/p>\n

Warum gibt es nftables?<\/h2>\n

Die iptables-Werkzeuge wurden mehrfach erweitert und erg\u00e4nzt. So gibt es unter andrem iptables<\/strong> f\u00fcr IPv4, ip6tables<\/strong> f\u00fcr den Nachfolger IPv6 und arptables<\/strong>. Bei ARP geht es um die Zuordnung von IP- zu Hardware-Adressen (MAC) der Netzwerkschnittstellen. Durch die getrennten Werkzeuge sind Teile des Programmcodes mehrfach vorhanden. Nftables <\/strong>ist eine Neuentwicklung, die ebenfalls auf Netfilter basiert – allerdings s\u00e4mtliche Funktionen in einem einzigen Werkzeug namens nft<\/strong> b\u00fcndelt. Das Projekt wurde als Nachfolger entwickelt und existiert seit 2009. Seit 2016 bietet nftables <\/strong>die gleichen Funktionen wie iptables<\/strong>, mittlerweile ist es sogar m\u00e4chtiger. Lange Zeit existierten beide Projekte daher parallel und iptables war verbreiteter.<\/p>\n

Das \u00e4ndert sich zunehmend, da es eine Kompatibilit\u00e4tsschicht gibt. Mithilfe von iptables-translate<\/a> kann man zudem bestehende Regeln in nftables <\/strong>umwandeln lassen. Einige Linux-Distributionen sind bereits gewechselt oder haben dies angek\u00fcndigt. Unter Debian (und damit auch dem Raspberry Pi OS) ist nftables seit Buster der neue Standard<\/a>. Man kann mithilfe von update-alternatives zur\u00fcck zum alten iptables <\/strong>wechseln:<\/p>\n

sudo update-alternatives --set iptables \/usr\/sbin\/iptables-legacy\n# Oder zun\u00e4chst nur einsehen, was als Standard f\u00fcr iptables konfiguriert ist\n# Ein Verweis auf iptables-nft steht f\u00fcr nftables, "iptables" ohne nft = iptables\nupdate-alternatives --display iptables<\/code><\/pre>\n
Dies funktioniert analog f\u00fcr ip6tables<\/strong>, arptables <\/strong>und ebtables<\/strong>. Allerdings ist iptables veraltet und wird daher voraussichtlich in einer der n\u00e4chsten Hauptversionen entfernt. Zumindest mittelfristig sollte man daher zu nftables wechseln, wie es auch im Debian-Wiki empfohlen wird<\/a>.<\/p>\n
Worin unterscheiden sich iptables und nftables haupts\u00e4chlich?<\/h2>\n
Unter nftables <\/strong>werden s\u00e4mtliche Regeln mit dem Kommandozeilenwerkzeug nft <\/strong>verwaltet. Ob es sich dabei um IPv4, V6 oder andere Protokolle wie ARP handelt, spielt keine Rolle. Es gibt keine getrennten Werkzeuge wie iptables, ip6tables<\/strong> etc. mehr. <\/p>\n
Sowohl iptables <\/strong>als auch nftables <\/strong>arbeiten mit Tabellen und Ketten (chains). W\u00e4hrend es bei iptables <\/strong>standardm\u00e4\u00dfig bestimmte Tabellen (z.B. Filter, NAT) und Ketten (INPUT, FORWARD, usw.) gab, ist dies bei nftables <\/strong>nicht der Fall. Dies wird mit der Leistung begr\u00fcndet, da man so nur jene Tabellen\/Ketten anlegen kann, die auch wirklich ben\u00f6tigt werden.<\/p>\n
Die Handhabung wurde in nftables <\/strong>an mehreren Stellen verbessert. Beispielsweise sind alle Regeln automatisch persistent. Manuelles importieren beim Serverstart mit iptables-save<\/strong> und iptables-restore<\/strong> entf\u00e4llt. <\/p>\n
Die Regeln sind flexibler geworden: Man kann mehrere Aktionen in einer einzelnen Regel angeben. Bei iptables <\/strong>war nur eine einzige (z.B. -j ACCEPT<\/strong> oder -j LOG<\/strong>) m\u00f6glich. Wer mehrere Regeln erstellt, spart sich Wiederholungen durch den hierarchischen Aufbau.<\/p>\n
Interessant ist ebenfalls die komfortable M\u00f6glichkeit, um Regeln in einer Datei angeben und laden zu k\u00f6nnen. Das vermeidet lange, un\u00fcbersichtliche und im Zweifel undokumentierte Konsolenbefehle.<\/p>\n
Einstieg in nftables<\/h2>\n
Ist nftables bei mir installiert?<\/h3>\n
Unter Debian (ab Buster), Ubuntu (ab 20.10), CentOS (ab 8) und Fedora (32) ist nftables bereits standardm\u00e4\u00dfig installiert. Unter anderen\/\u00e4lteren Distributionen muss es ggf. nachinstalliert werden, meist hei\u00dft das Paket daf\u00fcr ebenfalls nftables<\/strong>.<\/p>\n
Wenn ihr euch nicht sicher seid, k\u00f6nnt ihr pr\u00fcfen, ob das Kernel-Modul nf_tables<\/strong> geladen ist:<\/p>\n
$ sudo lsmod | egrep ^nf_tables\nnf_tables             241664  1649 nft_reject_ipv4,nft_ct,nft_compat,nft_log,nft_nat,nft_fib_ipv4,nft_counter,nft_masq,nft_chain_nat,nft_reject,nft_fib<\/code><\/pre>\n
Eine Liste aller aktiven Regeln l\u00e4sst sich mit folgendem Befehl anzeigen:<\/p>\n
sudo nft list ruleset<\/code><\/pre>\n
In der Regel wird diese Liste leer sein. Au\u00dfer ihr habt Software installiert, die eigene Regeln anlegt. Das ist beispielsweise bei Docker der Fall, um Funktionen wie Portfreigaben umzusetzen.<\/p>\n
Befehle per CLI ausf\u00fchren: Anlegen der ersten Tabelle, Kette und Regel<\/h3>\n
Man hat die Wahl, ob man einzelne Konsolenbefehle wie bei iptables <\/strong>verwendet – oder die Konfiguration in einer Datei speichert. Beginnen wir mit einer Tabelle, die eine Protokollfamilie<\/a> festlegt. Hier wird inet<\/strong> verwendet f\u00fcr alle Internetprotokolle (IPv4 und der Nachfolger v6). Insgesamt sechs Familien existieren, man k\u00f6nnte z.B. auch ip<\/strong> angeben, um ausschlie\u00dflich IPv4 Datenverkehr zu behandeln. Oder ip6<\/strong> f\u00fcr V6. Zuletzt folgt der frei w\u00e4hlbare Name der Tabelle basic-filter<\/strong>:<\/p>\n
sudo nft add table inet basic-filter<\/code><\/pre>\n
Innerhalb einer Tabelle k\u00f6nnen wir nun Ketten anlegen. Eine Kette hat einen bestimmten Typ und reagiert auf ein Ereignis. Wichtig: Ketten und Regeln erhalten Sonderzeichen wie z.B. geschweifte Klammern, die von der Shell (meist Bash) interpretiert werden! Ihr m\u00fcsst diese daher entweder mit einem umgekehrten Schr\u00e4gstrich \\ escapen, etwa \\{ statt { oder in einfachen Anf\u00fchrungsstrichen ‚ maskieren. Ich empfehle einfache Anf\u00fchrungsstriche. Doppelte funktionieren nicht, da Bash nur innerhalb einfacher Anf\u00fchrungszeichen nichts interpretiert. Die Anf\u00fchrungsstriche sollten nach dem nft <\/strong>Befehl beginnen.<\/p>\n
sudo nft 'add chain inet basic-filter input { type filter hook input priority filter; ... }'<\/code><\/pre>\n
An der … Stelle w\u00fcrden nun die Regeln folgen, die wir uns im folgenden aber besser in einer eigenen Datei anschauen. Das ist deutlich komfortabler und \u00fcbersichtlicher, als l\u00e4ngere Konsolenbefehle zu nutzen.<\/p>\n
Grundlegende Regeln als Datei<\/h3>\n
Dazu legen wir eine frei w\u00e4hlbare Datei (z.B. nft_basic_rules.conf<\/strong>) an und definieren die Regeln wie folgt:<\/p>\n
#!\/usr\/sbin\/nft -f\n\n# Optional: L\u00f6scht alle m\u00f6glicherweise bereits existierenden Regeln\n# flush ruleset\n\ntable inet basic-filter {\n        chain input {\n                type filter hook input priority filter\n                policy drop\n                ct state { established, related } accept\n\n                iifname lo accept\n                ct state new tcp dport ssh log prefix "Neue SSH-Verbindung " accept\n        }\n}<\/code><\/pre>\n
Diese legt eine Tabelle und Kette (Chain) an, die auf eingehende IP-Pakete (V4 und V6) reagiert. Nur SSH und lokale Verbindungen auf der Loopback-Schnittstelle (127.0.0.1) wird erlaubt, alle anderen Pakete verworfen. <\/p>\n