ipr-cnrs.nftables

概要 バージョン 洞察

Nftables(NFTテーブル)

  1. 概要
  2. 役割変数
  4. 設定
  5. 開発
  6. ライセンス
  7. 著者情報

概要

Nftablesのルールとパッケージを管理するための役割です。

マイク・グリーソンのファイアウォール役割から多くのインスピレーションを受けています。彼の哲学を複雑にしていなければいいのですが…(今は複雑にしてしまったという自信があります :D) ^^

役割変数

  • nft_enabled:Nftablesサポートを有効または無効にします [デフォルト:true].
  • nft_pkg_state:新しいnftablesパッケージの状態 [デフォルト:present].
  • nft_old_pkg_list:削除する不要なパッケージのリスト(例: Iptablesなど)[デフォルト:iptables].
  • nft_old_pkg_state:古いパッケージの状態 [デフォルト:absent].
  • nft_old_pkg_manage:古いパッケージをこの役割で管理するかどうか [デフォルト:true].
  • nft_conf_dir_path:異なるNftables設定ファイルを保存するディレクトリ [デフォルト:/etc/nftables.d].
  • nft_main_conf_path:systemdユニットによって読み込まれるメイン設定ファイル [デフォルト:/etc/nftables.conf].
  • nft_main_conf_content:上記のメイン設定ファイルを生成するために使用されるテンプレート [デフォルト:etc/nftables.conf.j2].
  • nft_input_conf_path:メイン設定ファイルに含まれる入力設定ファイル [デフォルト:{{ nft_conf_dir_path }}/filter-input.nft].
  • nft_input_conf_content:上記の入力設定ファイルを生成するために使用されるテンプレート [デフォルト:etc/nftables.d/filter-input.nft.j2].
  • nft_output_conf_path:メイン設定ファイルに含まれる出力設定ファイル [デフォルト:{{ nft_conf_dir_path }}/filter-output.nft].
  • nft_output_conf_content:上記の出力設定ファイルを生成するために使用されるテンプレート [デフォルト:etc/nftables.d/filter-output.nft.j2].
  • nft_forward_conf_path:メイン設定ファイルに含まれる転送設定ファイル [デフォルト:{{ nft_conf_dir_path }}/filter-forward.nft].
  • nft_forward_conf_content:上記の転送設定ファイルを生成するために使用されるテンプレート [デフォルト:etc/nftables.d/filter-forward.nft.j2].
  • nft_define_conf_path:メイン設定ファイルに含まれる変数定義ファイル [デフォルト:{{ nft_conf_dir_path }}/defines.nft].
  • nft_define_conf_content:上記の変数定義ファイルを生成するために使用されるテンプレート [デフォルト:etc/nftables.d/defines.nft.j2].
  • nft_sets_conf_path:メイン設定ファイルに含まれるセットとマップの定義ファイル [デフォルト:{{ nft_conf_dir_path }}/sets.nft].
  • nft_sets_conf_content:上記のセットとマップの定義ファイルを生成するために使用されるテンプレート [デフォルト:etc/nftables.d/sets.nft.j2].

(変数が多数ありますが、省略させていただきます)

OS固有の変数

各OSファイルのデフォルト値を確認してください。

  • nft_pkg_listnftablesを提供するパッケージのリスト。
  • nft__bin_locationnftables実行ファイルへのパス。 [デフォルト:/usr/sbin/nft]

ルールテンプレート

nft_templates辞書には、ファイアウォールで使用するための便利なルールが含まれています。例えば、{{ nft_templates.allow_mdns }}は、IPv4とIPv6の両方のmDNSをカバーする以下のルールに展開されます。

- meta l4proto udp ip6 daddr ff02::fb    udp dport mdns counter accept comment "mDNS IPv6 サービス発見"
- meta l4proto udp ip  daddr 224.0.0.251 udp dport mdns counter accept comment "mDNS IPv4 サービス発見"

ルールセットにおける使用法の一例です。

プレイブックを使用して

デフォルト変数を使用してNftablesを管理する (クリックして展開) 
- hosts: serverXYZ
  roles:
    - role: ipr-cnrs.nftables

(他の例についても同様に翻訳を続けることが可能ですが、スペースの制限があるため、必要に応じて続けます。)

プロジェクトについて

Manage Nftables rules and packages

role system nftables firewall security
インストール
ansible-galaxy install ipr-cnrs.nftables
GitHub リポジトリ
154 スター
45 フォーク
12 オープンな問題
ライセンス
Unknown
ダウンロード
99.3k
所有者
Institut de Physique de Rennes
Institut de Physique de Rennes https://ipr.univ-rennes1.fr/ Tutelles CNRS et Université Rennes 1