Nft-Firewall blockiert trotz accept Regeln den gesamten Verkehr

[daer2095]

Ich versuche eine Firewall mit nftabels zu erstellen. Ich möchte, dass die Firewall meinem Browser Firefox den Internetzugang ermöglicht und alle anderen Daten blockiert. (Whitelist) Aber wenn ich nft starte, habe ich überhaupt keinen Internetzugang, obwohl ich accept Regeln erstellt habe.


Dies ist die Datei etc/nftables.conf:

Code: Alles auswählen

#!/usr/sbin/nft -f

flush ruleset;

table inet filter {

			chain input {
				type filter hook input priority 0; policy accept;
			}
			
			chain forward {
				type filter hook forward priority 0; policy accept;
			}

			chain output {
				type filter hook output priority 0;  policy drop;
					tcp dport 80 accept
					tcp dport 443 accept
				}
}

[wanne]

DU blockst ICMP, DHCP und DNS. Natürlich tut da nichts.
Als letzten Kommentar der dich natürlich wieder nicht von einem Vorhaben abbringen lassen wird:
99% der Malware wird genau auf diese Regel matchen:

Code: Alles auswählen

tcp dport 443 accept

Genau so wie 4 von 5 neuere proprietäre Software-Lösungen das jetzt zumindest als Backup machen machen.
Seit der Erfindung des Overlay-netzwerken wird keine derartige Firewall deine Sicherheit ernsthaft erhöhen. Alles was du (und die ganzen Leute die ähnliche Firewalls bauen) machst ist, debugging zu erschweren indem keiner mehr Standardkonforme Ports sondern 443 nutzt, moderne (im Sinne von 90er Jahre modern) performantere Alternativen zu TCP (mtcp, sctp, quick) zu blockieren und Anwendungsetwickler dazu zwingen einen riesen Haufen Bloat in ihre Software einzubauen, damit die deine dämliche Firewall umgehen kann.

[daer2095]

Danke, hat mir sehr weitergeholfen.