nftables ist das moderne Framework zur Paketfilterung und Firewall-Verwaltung auf Linux-Systemen und ersetzt langfristig iptables. Es bietet eine konsistente Syntax, bessere Performance und flexible Regelsets, die sowohl einfache als auch komplexe Anforderungen abdecken. Für Administratoren und Einsteiger im Serverbereich ist es essenziell, die Grundlagen von nftables zu verstehen, um sichere und performante Linux-Server aufzusetzen.

Grundlagen von nftables

nftables arbeitet mit Tables, Chains und Rules. Tabellen gruppieren Chains, Chains verarbeiten Pakete, und Rules definieren, was mit den Paketen geschehen soll.

• Table: Container für Chains, z.B. inet, ip oder ip6
• Chain: Verarbeitet Pakete basierend auf Hook (input, output, forward)
• Rule: Definiert Aktionen wie accept, drop oder log

Installation und Aktivierung

nftables ist auf den meisten modernen Linux-Distributionen verfügbar und kann einfach installiert und aktiviert werden.

# Debian/Ubuntu
sudo apt update
sudo apt install nftables
RHEL/CentOS/Fedora
sudo yum install nftables
nftables aktivieren
sudo systemctl enable nftables --now

sudo systemctl status nftables

Ein einfaches Regelset

Ein typisches Basisset für einen Server, das grundlegende Sicherheit bietet, könnte folgendermaßen aussehen:

sudo nano /etc/nftables.conf
table inet filter {

chain input {

type filter hook input priority 0;

policy drop;
    # Loopback akzeptieren
    iif lo accept

    # SSH erlauben
    tcp dport 22 accept

    # HTTP und HTTPS erlauben
    tcp dport { 80, 443 } accept

    # Bestehende Verbindungen akzeptieren
    ct state established,related accept
}

chain forward {
    type filter hook forward priority 0;
    policy drop;
}

chain output {
    type filter hook output priority 0;
    policy accept;
}

}
Regelset laden
sudo nft -f /etc/nftables.conf


Regeln prüfen und Debuggen
Um den Status und die aktuellen Regeln zu überprüfen, bietet nftables verschiedene Befehle:
# Alle Tabellen und Chains anzeigen
sudo nft list ruleset
Nur eine bestimmte Tabelle anzeigen
sudo nft list table inet filter



Für Debugging-Zwecke kann man zusätzlich Logging aktivieren, um Pakete zu protokollieren:
tcp dport 22 log prefix "SSH Attempt: " accept

Stateful Inspection
nftables unterstützt stateful Inspection über ct state. Damit können nur Pakete akzeptiert werden, die zu bestehenden Verbindungen gehören oder neu initiiert werden:
ct state established,related accept
ct state invalid drop

NAT mit nftables
NAT (Network Address Translation) lässt sich ebenfalls über nftables realisieren, z. B. für Masquerading eines internen Netzwerks:
table ip nat {
    chain postrouting {
        type nat hook postrouting priority 100;
        oifname "eth0" masquerade
    }
}

Vergleich zu iptables

nftables ersetzt iptables, bietet eine einheitliche Syntax
Performanter, da nur ein Kernel-API verwendet wird
Flexibleres Regel-Management, z. B. Sets, Maps und Concatenations
Einfacheres Logging und Debugging

Best Practices für nftables

Default-Deny-Policy für eingehenden Traffic setzen
Nur benötigte Ports öffnen und nach Möglichkeit auf spezifische IP-Adressen einschränken
Stateful Inspection verwenden, um legitimen Verkehr automatisch zu akzeptieren
Logging aktivieren für sicherheitsrelevante Events
Regelsets versionieren, z. B. mit Git, um Änderungen nachvollziehbar zu machen
Regeländerungen testen, bevor sie produktiv angewendet werden

Fazit
nftables ist das zentrale Werkzeug für moderne Linux-Firewalls. Durch die Kombination aus einfachen Basissetups, Stateful Inspection, NAT-Funktionalität und flexiblen Regelsets lässt sich ein sicherer Serverbetrieb gewährleisten. Ein solides Verständnis der Konzepte von Tables, Chains und Rules sowie die konsequente Umsetzung von Best Practices sind entscheidend, um die Sicherheit und Stabilität von Linux-Servern zu gewährleisten.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:


Professionelle Konfiguration von Routern und Switches


Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen


Erstellung von Topologien und Simulationen in Cisco Packet Tracer


Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG


Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible


Erstellung von Skripten für wiederkehrende Netzwerkaufgaben


Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege


Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting


Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.