roles/base/network/files/default/nftables.conf

   1 #!/usr/sbin/nft -f
   2 ################################################
   3 ### Managed by someone's ansible provisioner ###
   4 ################################################
   5 # Part of: https://git.somenet.org/root/pub/somesible.git
   6 # 2017-2025 by someone <someone@somenet.org>
   7 #
   8
   9 flush ruleset
  10
  11 table inet filter {
  12 #    ct helper ftp-standard { type "ftp" protocol tcp; }
  13 #
  14 #    chain RAW {
  15 #        type filter hook prerouting priority raw; policy accept;
  16 #
  17 #        # accept any inside traffic.
  18 #        iifname "lo" counter accept
  19 #
  20 #        # accept all other traffic, by policy.
  21 #    }
  22
  23     chain PRE {
  24         type filter hook prerouting priority -150; policy accept;
  25
  26         # accept any inside traffic.
  27         iifname "lo" counter accept
  28
  29         # incoming, public facing traffic.
  30         counter jump PRE_outside
  31
  32         # accept any other traffic - should not happen.
  33         counter log prefix "NFT:PRE:ACCEPT-unk; " accept
  34     }
  35
  36     chain PRE_outside {
  37         # mark outside-initiated incoming connections.
  38         ct state new meta mark set 2 ct mark set meta mark
  39
  40         # accept neighbour discovery otherwise IPv6 connectivity breaks.
  41         ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-advert, nd-neighbor-solicit, nd-router-advert} counter accept
  42         ip6 nexthdr udp udp dport 546 counter accept
  43         ip protocol icmp icmp type { echo-request} counter accept
  44
  45         # accept connections to these services.
  46         tcp dport 2 counter accept
  47
  48         # switch to something better than ftp, ssh/sftp for example, but if you must, use the ftp conntrack helper.
  49 #        tcp dport 21 ct state new ct helper set "ftp-standard" counter accept
  50
  51         # accept traffic originated from us.
  52         ct state established,related counter accept
  53
  54         # accept any other traffic.
  55         counter accept
  56 #        counter log prefix "NFT:PRE_outside:ACCEPT-all; " accept
  57     }
  58
  59 #    chain INPUT {
  60 #        type filter hook input priority 0; policy accept;
  61 #        counter accept
  62 #    }
  63 #    chain FORWARD {
  64 #        type filter hook forward priority 0; policy accept;
  65 #        counter accept
  66 #    }
  67 #    chain OUTPUT {
  68 #        type filter hook output priority 0; policy accept;
  69 #        counter accept
  70 #    }
  71
  72     chain POST {
  73         type filter hook postrouting priority 150; policy accept;
  74
  75         # accept any inside traffic.
  76         oifname "lo" counter accept
  77
  78         # outgoing, public facing traffic.
  79         counter jump POST_outside
  80
  81         # accept any other traffic - should not happen.
  82         counter log prefix "NFT:POST:ACCEPT-unk; " accept
  83     }
  84
  85     chain POST_outside {
  86         # mark inside-initiated outgoing traffic.
  87         ct mark 0 meta mark set 1 ct mark set meta mark
  88
  89         # accept all traffic.
  90         counter accept
  91 #        counter log prefix "NFT:POST_outside:ACCEPT-all; " accept
  92     }
  93 }
  94
  95
  96 #table ip nat {
  97 #    chain NAT_PRE {
  98 #        type nat hook prerouting priority dstnat; policy accept;
  99 #        meta l4proto tcp ip daddr 127.0.0.1 tcp dport 80 counter redirect to :1080
 100 #        meta l4proto tcp ip daddr 127.0.0.1 tcp dport 443 counter redirect to :10443
 101 #    }
 102 #    chain NAT_POST {
 103 #        type nat hook postrouting priority 100; policy accept;
 104 #        oifname "eth0" counter masquerade fully-random,persistent
 105 #    }
 106 #}