Invertir en tu conocimiento es la única apuesta segura 🚀
Por los próximos 5 días, todos los cursos de #JuncoTIC están al mejor precio en Udemy!
Si tenés ganas de dominar GNU/Linux, entender cómo funcionan las redes TCP/IP, o desarrollar sitios web con #Python y #Flask, esta es la oportunidad!
👇 Todos los cursos con el descuento acá:
Dudas? Otras formas de pago?
💬 info@juncotic.com
#Linux #SysAdmin #IT #python #ssh #nftables #iptables #tcpip #flask #wireshark
After distrohopping again (this time it's #Alpine) one of the things I wanted to set-up and understand in depth is the firewall.
Although awall ("Alpine Wall") looked really interesting, I let the 'legacy' label of #iptables convince me to rather go through with #nftables. The only thing I really wanted to have was the 'automatic fallback if new rules block current ssh connection' feature of awall.
Ох какое я себе весёлое родео устроил решив ради лулзов убрать всякие легаси фичи касающиеся iptables из ядра на домашнем сервере и перекатиться на nftables.
Даже Docker со всем его хозяйством перетащил.
Вы спросите зачем?
Я скажу, что почему бы и нет 🤷♂️
#log #Linux #iptables #nftables #firewall #Docker #troubleshooting
What's these fancy "zone based" firewalls? They apply policies to interfaces rather than IPs.
Laughs in raw nftables rulesets xD
Useful paper on the "Netfilter’s connection tracking system" by Pablo Neira Ayuso. It might be a bit outdated but it is useful for getting started with netfilter or nftables to better understand hooks, callbacks, connection tracking. https://people.netfilter.org/pablo/docs/login.pdf
#netfilter #nftables #firewall #networking
Полный путь пакета в Linux: от Ethernet-кадра до Kubernetes CNI
Сетевую часть Linux обычно «настраивают», но редко понимают. Добавляют iptables-правило, включают NAT, правят sysctl — и если трафик пошёл, считается, что задача решена. Проблемы начинаются ровно в тот момент, когда он не идёт, а поведение системы перестаёт быть очевидным. В Linux нет магии. Есть IP-пакет, его заголовки и строго определённый путь внутри ядра: маршрутизация, netfilter, conntrack, NAT, TCP/UDP стек. Если не понимать этот путь целиком, firewall выглядит как чёрный ящик, NAT — как случайный набор правил, а Kubernetes CNI — как нечто «особенное», существующее отдельно от обычной сети.
I don't wanna have to add accept filtering rules for explicit dnat :(
and I just learned `ct status dnat` exists :)
Built a custom Buildroot distro for #Raspberry Pi 4 running:
Linux 6.12 PREEMPT_RT, Wi‑Fi, #NordVPN, #Tor + #Proxychains, #macchanger, #nftables, #nmap, #netcat, #watchdog.
A real‑time, stealth, weapon‑grade network appliance.
Minimal. Fast. Untraceable. Mine 👊🏻
#Linux #Buildroot #RaspberryPi #PREEMPTRT #FOSS #Privacy #Networking
Background:
for my #homelab I set up #suricata in #nixos and have a functioning #ids #intrusiondetection system with a #grafana dashboard (#flake info here https://codeberg.org/adingbatponder/reticulum_nixos_flake/src/commit/9ebc4cd68ba461b0baad990cbdd4a4ef50b57045/features/network-appliance/README.md ).
Preliminary plan:
I now want to go to and #ips #intrusionprevention system that blocks threats detected. Current plan is #nftables with #nfqueue but there is no GUI for that it seems, and it is a bit clunky and black-boxy.
Question: What are the more user-friendly options for an IPS front-end / GUI ?
Thanks!
jo, ähnliche Erfahrungen hier.
Zugegeben, ab und an gibt es erfolgreiche Ergebnisse, wenn man beispielsweise mit einem Tool etwas machen will, es aber selbst nicht in den Docs findet bzw. zu faul ist zum Suchen. Beispielsweise bei mir bei etwas obskuren #victoriaMetrics Konfigurationen schon sehr erfolgreich gewesen.
Dann aber beispielsweise gestern bei #nftables wurden laufend syntaktisch falsche "Lösungen" präsentiert - und besonders erschreckend, konsistent über mehrere Modelle hinweg.
Leider macht es PR/MR Reviews inzwischen immer nerviger, weil erschreckend obskure Funktionalitäten dabei auftauchen, die dann in getesteten Spezialfällen zwar funktionieren aber dann in Prod auf die Nase fallen.
> The ordering is ascending, i.e. lower priority values have precedence over higher ones.
> For example, input chains with priorities -12, -1, 0, 10 would be consulted exactly in that order.
Priority growing the opposite direction than the numbers which you call "priority". No big deal, definitely doesn't require reflection on why even, or big red warnings anywhere.
Awesome to discover it works that way the day after misconfiguring firewall on Internet-facing server.
Well, having spent a few days (on and off) trying to understand why #tailscale wasn't working on my #Gentoo laptop install (it was due to a lack of kernel modules, now resolved), I then ended up going down the #nftables rathole. Very interesting, and I am thinking about going bare metal BSD on my incoming router (currently running #opnsense), so I understand and have complete control over everything that is coming in and out of the home network. I am also planning to go full IPv6 once I understand properly how to do it. (...and yes, I do know that BSD doesn't use nftables, so I will have to learn more about how BSD does firewalls. I also need to consider and choose between #FreeBSD vs #openbsd). I think a harmless internal setup will be the first step with a few small board computers etc...
docker va enfin supporter nftables :o
https://github.com/moby/moby/issues/26824#issuecomment-3571054543
Se vienen cositas nuevas en el curso de #nftables ! 💪
Estamos añadiendo cuestionarios y casos prácticos 🖥️
Así que, a los alumnos, estén atentos que pronto se viene anuncio con novedades! 🤗
#juncotic #nftables #hardenig #firewall #Ciberseguridad #infosec
Nuevo video en el canal de youtube para ver el fin de semana! 🚀
A raíz de algunas consultas de nuestros alumnos, hoy explicamos, paso a paso, y con un ejemplo práctico, cómo migrar un firewall #iptables a #nftables en #GNU #Linux 🛡
Ya no hay excusas para migrar nuestra vieja configuración de iptables al nuevo framework de filtrado de tráfico del núcleo Linux 🙂
Espero que les guste y les sirva!
Cualquier consulta, o si lo hacen de alguna otra forma, me comentan! 💬
Les comparto algunas novedades del nuevo curso de #Hardening #Linux que estamos preparando en #juncotic!
https://youtube.com/shorts/PAx_TrVVgoQ?feature=share
Nuevo video para youtube pronto! Migrar #iptables a #nftables 🙂
Y además, #promoción de fin de mes! Pueden acceder a todos nuestros #cursos al mejor precio de #Udemy desde los enlaces de nuestro sitio:
Los esperamos!
#gnu #sysadmin #devops #networking #lpic #learning #educacion #CursoOnline #curso #Ciberseguridad #infosec #Firewall
@g0nz4 La sintaxis de nftables es más limpia y legible, unifica ipv4 e ipv6 (sin necesidad de usar iptables o ip6tables por separado).
Tiene mejor rendimiento para redes más grandes, soporte nativo parar sets (cosa que en iptables tenías que configurar aparte).
En fin, nftables es más moderno que iptables, y yo creo que el futuro del firewall en #Linux va a ir por ese lado.
Cuesta un poquito adaptarse si venís de iptables (como yo), pero vale la pena migrar.
