Linux tűzfal készítés: nftables ipset haladó használata

Tűzfal készítésekor gyakran kell kisebb-nagyobb listákat használni a szabályokhoz. Olyasmire gondolok, mint IP címek felsorolása, ha a lista nem írható le CIDR formában vagy a belső hálózati eszközök MAC címei, forrás- vagy cél-portok. A Linux hagyományos megközelítésével ezek meghatározása nehézkes és lassú tűzfal-működéshez vezet.

A megoldás az IP-halmazok (IPSet) használata. Az nftables gyárilag tartalmazza a korábban külön telepítendő funkciót, így a használat sokkal egyszerűbb. Az eredmény pedig egy átláthatóbb és egyben gyorsabban működő tűzfal.

Az nftables környezetben több módon is használhatsz halmazokat. Az egyszerűbb módot (nem nevesített halmaz) már érintettük a korábbi alkalmakkor. Azok hátránya, hogy nem “újrahasznosíthatóak”, mindenhol újra és újra meg kell adni mindent. Ma a nevesített halmazzal foglalkozunk.

Hasonló eredményeket elérhetsz a már ismert változókkal is, de ott minden adat minden szabálynál tárolásra kerül, ami jelentősen növeli a memória-használatot és bonyolítja az adminisztrációt. A nevesített halmazzal ez sokkal egyszerűbb és hatékonyabb.

Az éles környezetből származó, napi szinten használt gyakorlati példák segítségével megérted mire jó az ipset és hogyan használd azt a saját környezetedben.

Leave a Comment

Élő képzés

Szerző

Czakó Krisztián

Oszd meg!

Bejelentkezés

Iratkozz fel, hogy értesülj az újdonságokról!

Please enter your name.
Please enter a valid email address.
Please check the required field.
Something went wrong. Please check your entries and try again.
Scroll to Top