Ein effektives Host-Firewall-Design ist für die Absicherung von Linux-Servern unerlässlich. Moderne Systeme setzen zunehmend auf nftables als Nachfolger von iptables, da es eine flexiblere Syntax, Sets, State-Tracking und bessere Performance bietet. In diesem Tutorial lernen Sie, wie Sie nftables mit IP-Sets, Logging und Rate-Limits sicher konfigurieren, um Angriffe zu erkennen, zu begrenzen und gleichzeitig legitimen Traffic zu erlauben.
Grundlagen von nftables
nftables arbeitet mit Tables, Chains und Rules. Eine Table ist eine Sammlung von Chains, die wiederum Regeln enthalten, um Traffic zu filtern oder zu manipulieren. Es unterstützt IPv4, IPv6, ARP und Bridge-Traffic.
Struktur einer nftables-Konfiguration
- Table: Sammlung von Chains, z. B.
inet filter - Chain: Sammlung von Regeln mit spezifischem Hook, z. B.
input,output,forward - Rule: Einzelregel, z. B.
accept tcp dport 22
Installation und Basis-Setup
Unter aktuellen Distributionen ist nftables meist vorinstalliert. Ansonsten erfolgt die Installation über den Paketmanager.
# Debian/Ubuntu
apt update && apt install nftables
# RHEL/CentOS
yum install nftables
Firewall aktivieren
systemctl enable nftables
systemctl start nftables
systemctl status nftables
Ein einfaches Filter-Setup
Als Basis empfiehlt sich ein Default-Deny Ansatz, bei dem alle eingehenden Verbindungen abgelehnt werden, außer spezifisch erlaubte Services.
# Basis-Tabelle und Chains anlegen
nft add table inet filter
nft add chain inet filter input { type filter hook input priority 0 ; policy drop ;}
nft add chain inet filter forward { type filter hook forward priority 0 ; policy drop ;}
nft add chain inet filter output { type filter hook output priority 0 ; policy accept ;}
Typische Allow-Regeln
# SSH erlauben
nft add rule inet filter input tcp dport 22 ct state new,established accept
nft add rule inet filter input tcp sport 22 ct state established accept
HTTP/HTTPS erlauben
nft add rule inet filter input tcp dport {80,443} ct state new,established accept
nft add rule inet filter input tcp sport {80,443} ct state established accept
Lokalen Traffic erlauben
nft add rule inet filter input iif lo accept
Sets nutzen für dynamische Regeln
IP-Sets ermöglichen das Sammeln von mehreren IPs in einer Struktur, die effizient in Regeln referenziert werden können.
# Set für erlaubte Admin-IP-Adressen
nft add set inet filter admin_ips { type ipv4; flags interval; }
# IPs hinzufügen
nft add element inet filter admin_ips { 192.168.1.100, 192.168.1.101 }
# Regel für SSH nur von Admin-IP
nft add rule inet filter input ip saddr @admin_ips tcp dport 22 accept
Logging einrichten
Logs sind entscheidend, um verdächtigen Traffic zu erkennen. nftables unterstützt direktes Logging pro Regel.
# Logging für abgelehnte Pakete
nft add rule inet filter input counter log prefix "DROP: " drop
Logrotation konfigurieren
Um zu verhindern, dass Logs das System füllen, sollten Sie rsyslog oder logrotate verwenden.
# Beispiel logrotate
/var/log/nftables.log {
daily
rotate 7
compress
missingok
notifempty
}
Rate-Limits für Schutz vor Brute-Force
Rate-Limits verhindern Überlastung durch wiederholte Verbindungsversuche, z. B. bei SSH.
# SSH Rate-Limit: max 4 Verbindungen pro Minute pro IP
nft add rule inet filter input tcp dport 22 ct state new limit rate 4/minute accept
Praktische Tipps für Rate-Limits
- Verbindungslimits für verschiedene Dienste separat definieren
- Sets nutzen, um geblockte IPs temporär zu speichern
- Alerting einrichten, wenn Limits häufig erreicht werden
Persistente Konfiguration und Testing
Änderungen sollten persistent gespeichert und vor dem Go-Live getestet werden.
# Konfiguration speichern
nft list ruleset > /etc/nftables.conf
# Testen
nft -c -f /etc/nftables.conf
# Automatisch beim Booten laden
systemctl enable nftables
Best Practices für Produktionssysteme
- Default-Deny für Input- und Forward-Chains
- Output-Policy auf Accept, nur bei Bedarf einschränken
- Sets für Admins, Monitoring-IPs und temporäre Sperren
- Regelmäßiges Review der Logs und Alerts
- Rate-Limits für sensitive Dienste implementieren
- Redundante Management-Verbindungen über VPN oder dediziertes Netzwerk
- Dokumentation der Firewallregeln für Audit und Compliance
Mit einem klar strukturierten nftables-Setup, inklusive Sets, Logging und Rate-Limits, lassen sich Linux-Server effizient absichern. Die Kombination aus Default-Deny-Policy, gezielten Allow-Regeln und dynamischer IP-Verwaltung sorgt für maximale Sicherheit bei minimalem Administrationsaufwand. Regelmäßige Überprüfung und Monitoring garantieren, dass die Firewall auch unter Last und Angriffen zuverlässig arbeitet.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
