1
Nftables statt iptables
Hallo Ihr Lieben,
ich habe einen zentralen OpenWRT Router. Dieser hatte bis vor kurzem ein iptables Regelwerk. Nach einen Update wurde das Regelwerk auf nftables umgestellt. Wenn ich mir jetzt das Regelwerk anschaue dann sieht das Regelwerk sehr verändert aus. Stimmt ja auch. Ich hatte mir folgenden Beitrag angesehen
Unterschiede nftables / iptables
und verstanden was sich geändert hat. Aber mir ist aufgefallen das sich im Rgelwerk nun ct Helper befinden die ich nie angelegt habe. Jetzt hoffe ich nicht das ich kompromittiert wurde? Könnte Ihr mir sagen was diese Helfer auf sich haben? Diese sind für jede Firewall Zone (ist für jedes VLAN vorhanden) gleich.
Vorab herzlichen Dank für Euer Feedback.
Gruß von Stefan Harbich
ich habe einen zentralen OpenWRT Router. Dieser hatte bis vor kurzem ein iptables Regelwerk. Nach einen Update wurde das Regelwerk auf nftables umgestellt. Wenn ich mir jetzt das Regelwerk anschaue dann sieht das Regelwerk sehr verändert aus. Stimmt ja auch. Ich hatte mir folgenden Beitrag angesehen
Unterschiede nftables / iptables
und verstanden was sich geändert hat. Aber mir ist aufgefallen das sich im Rgelwerk nun ct Helper befinden die ich nie angelegt habe. Jetzt hoffe ich nicht das ich kompromittiert wurde? Könnte Ihr mir sagen was diese Helfer auf sich haben? Diese sind für jede Firewall Zone (ist für jedes VLAN vorhanden) gleich.
chain helper_dmz {
udp dport 10080 ct helper set "amanda" comment "!fw4: Amanda backup and archiving proto"
tcp dport 21 ct helper set "ftp" comment "!fw4: FTP passive connection tracking"
udp dport 1719 ct helper set "RAS" comment "!fw4: RAS proto tracking"
tcp dport 1720 ct helper set "Q.931" comment "!fw4: Q.931 proto tracking"
meta nfproto ipv4 tcp dport 6667 ct helper set "irc" comment "!fw4: IRC DCC connection tracking"
meta nfproto ipv4 udp dport 137 ct helper set "netbios-ns" comment "!fw4: NetBIOS name service broadcast tracking"
meta nfproto ipv4 tcp dport 1723 ct helper set "pptp" comment "!fw4: PPTP VPN connection tracking"
tcp dport 6566 ct helper set "sane" comment "!fw4: SANE scanner connection tracking"
udp dport 5060 ct helper set "sip" comment "!fw4: SIP VoIP connection tracking"
meta nfproto ipv4 udp dport 161 ct helper set "snmp" comment "!fw4: SNMP monitoring connection tracking"
udp dport 69 ct helper set "tftp" comment "!fw4: TFTP connection tracking"
}Gruß von Stefan Harbich
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672152
Url: https://administrator.de/forum/nftables-statt-iptables-672152.html
Ausgedruckt am: 26.03.2025 um 10:03 Uhr
1 Kommentar
Jetzt hoffe ich nicht das ich kompromittiert wurde?
Diesbezüglich Entwarnung!ct steht ja für connection tracking, und der helper set Befehl sagt dem packet filter das er für die zutreffenden Pakete auf welche der Eintrag zutrifft den entsprechenden Helper aktiviert. Z.B. ist amanda ist die offizielle Bezeichnung für den Port (UDP 10080) ein Protokoll einer Backupsoftware welche im Standard diesen Port benutzt. Jeder dieser Helper arbeitet etwas anders, sie helfen aber alle primär Pakete einer bestimmten Verbindung zuzuordnen, denn bei UDP gibt es ja bekanntlich keine States, oder bspw. bei ftp laufen ja die Daten und der Control-Channel jeweils auf separaten Ports, der Helper erkennt das und ordnet diese Pakete der Verbindung im connection tracking zu.
Diese Helper sind Standardmäßig in OpenWRT aktiviert, lassen sich aber wenn man ein Protokoll nicht nutzt auch deaktivieren, z.B. wenn man einen Port für andere Zwecke nutzt und evt. Probleme durch den Helper zu vermeiden. Zur Klarstellung: Diese Helper öffnen von sich aus erst mal keine Ports, sie helfen aber dem Paketfilter dabei, Pakete den bestehenden Client-Verbindungen zuzuordnen und im zweiten Schritt auch zuzulassen.
1
