NFT перенаправить с 80 на 8080 только тех кто содержится в сете или списке

тех кто содержится в сете или списке

Люди-человеки, что с вами не так? Это же ведь даже искать не надо, надо просто заглянуть в документацию.

https://wiki.nftables.org/wiki-nftables/index.php/Sets

tarpit для nginx ищешь ты.

например, https://github.com/p0pr0ck5/lua-resty-tarpit

где же там пример для редиректа описанный в топике?

вообще ничего не ищу для NGINX, нужно для nftables.

Там установлен NGINX и php. В конфиге NGINX создано 2 сайта

Предпологается что второй сайт будет ловушкой для ботов и брутфорсеров

вообще ничего не ищу для NGINX

как скажешь, нощянеке!..

Читать следует весть пост, а не по частям. Обращая внимание на пункт ps в конце топика.

как скажешь, нощянеке!..

я просто мимо проходил… ссылку как в nft делаются сеты - скинули. для генерации правила можно взять iptables-translate раз nft только в процессе освоения. делов - 5 минут.

ps: в правиле не хватает ip saddr

Это всё очень круто, конечно, только никак не помогает решить проблему. В офф. документации ничего и близко не увидел, что бы помогало решить описанную задачу.

Совет с iptables-translate это вообще нечто. Мне потом когда выпилят из дебиана iptables специально для этой задачи нужно будет его ставить только для того чтобы использовать iptables-translate?

Если нечего написать по существу так может лучше действительно просто мимо пройти?

т.е. ты даже до «Named sets» не дочитал?

Признаюсь сразу, в мануал смотрел не сразу - а начал с чатагпт, и скотина мне дезинфу по кд давал.

Я следовал по одному гайду c youtube

Создавал что то типо такого

nft add set ip filter blackhole { type ipv4_addr\; flags interval\;}
nft add element ip filter blackhole { 192.168.3.4 }
nft add element ip filter blackhole { 192.168.1.4, 192.168.1.5 }
nft add element ip filter blackhole { 172.16.1.0/24, 172.16.4.0/22 }

Вроде бы всё ок - круто работает 👍 но задача в том чтобы не блэкхолить трафф, а именно редиректить.

При этом валидных пользователей, а именно тех которые не в списках - пропускать на 80. Так же отдельно правило редиректа с 80 порта на 443.

Предпологается что есть вариант грузить именованные сэты с фаила, а соответственно и генерить такой фаил, и вот туда писать. Потому что планирую загонять туда подсетками целыми всяких норм поцанов.

Ну либо в sh сделать скрипт чтобы он в нужном формате этот сэт грузил.

Вопрос с сэтами скорее второстепенный. Я видел что на офф сайте есть пару слов про сеты. Но там нет конкретного варианта примера редиректа из сабжа.

Решение на уровне NGINX считаю неуместным оверхэдом!

У него был мануал про гео блокинг. Правила как применить сет для редиректа там тоже нет)

https://www.youtube.com/watch?v=MHPtWNb422A

Планирую постоянно в добавлять сэт новые ip адреса и подсети,

Хотелось бы, конечно, чтобы просто записал в фаил новые CIDR и чтобы nft сам как то подхватывал их. На крайний случай просто скрипт сделаю.

В твоём правиле для редиректа есть только сравнение портов.

Нужно добавить проверку адреса источника на наличие его в наборе.

В ссылке все есть! И как создать набор и как в него добавлять элементы и как проверять в нем наличие адреса. Тебе осталось применить свой мозг и подправить правило редиректа.

Я вот например отстал от жизни, для меня вообще хз как это будет работать без той же таблице нат к примеру…

Благодарю, увидел затуп. Вот так сработало

сначала создаём необходимое

nft add table nat
nft add chain nat prerouting { type nat hook prerouting priority dstnat \; }
nft add set ip nat blackhole { type ipv4_addr\; flags interval\;}

далее заносим в сет ip адреса и CIDR

nft add element ip nat blackhole { 192.168.3.4 }
nft add element ip nat blackhole { 192.168.1.4, 192.168.1.5 }
nft add element ip nat blackhole { 172.16.1.0/24, 172.16.4.0/22 }

тех кто в сете blackhole перенаправляем с 80 порта на порт 8080 всех остальных пропускаем на 80 порт

nft add rule nat prerouting ip saddr @blackhole tcp dport 80 redirect to :8080
nft add rule nat prerouting ip saddr != @blackhole tcp dport 80 accept

Спасибо, было полезно.

Тоже перехожу со скрипом на nftables, сам не знаю зачем, таблетка как работала, так и работает))

Только я не понимаю, зачем последнее правило:

nft add rule nat prerouting ip saddr != @blackhole tcp dport 80 accept

Валидные юзеры ведь через INPUT идут, напрямую, а редиректятся только IP из чёрного списка…

...в мануал смотрел не сразу - а начал с чатагпт...

О да, благодаря таким деятелям я никогда не останусь без работы.

Всегда во всяких списках правил разных файрволов, хоть ipchains, хоть ntf встречались правила, не имеютщие особого смысла.

Допустим, иногда в ″nft add chain″ пишут ″policy accept″, хотя это по-умолчанию.

ТС написал accept для пакетов на 80 порт (в цепочке prerouting), но это ничего не меняет. При этом 99%, что его сервер управляется по ssh, то есть существуют ″dport 22″ пакеты. Но, исходно он так составил ТЗ:

А всех кто НЕ СОДЕРЖИТСЯ в этом списке - спокойно пропускать на 80 порт

И для каждого пункта ТЗ написал по правилу. А может не он, а чат-гопота написала. Получилось, что пакеты ″dport 80″ будут по явному accept, а ″dport 22″ по policy accept.

P.S. Судя по профилю, ТС давно не появлялся, не ожидайте ответа он него :)

Удивительно, заморачиваться за запятую и при этом не обращать внимание на дату.