使用 nftables 打开 wlan0 并将 eth0 限制为仅 out

使用 nftables 打开 wlan0 并将 eth0 限制为仅 out

我使用 Raspberry Pi3+ (Buster 6.1) 作为 wlan0(AP 为 IOT 提供 dhcp 服务)上的 MQTT 代理,并使用 eth0(从室内路由器获取 dhcp)来获取 NTP 并通过 Gmail 发送通知。这一切都有效,现在为了新手安全,我想在 wlan0 上对端口 5900 和 8883 开放 wifi,但拒绝从 eth0 上的 Web 进行访问。我发现的任何搜索都显示如何桥接这两个界面,这对我来说完全落后。由于 NFTables 看起来很新,就像我一样,所以让我们使用它。我想使用类似的东西:

# nft list ruleset
table inet filter {
    chain input {
        type filter hook input priority 0; policy drop;

看了几个网站,语法让我很困惑。上面是否允许输出并禁用输入?如果是这样,我该如何指定eth0?至于 wlan0 我想我会使用 VNC 而不是 ssh。因此我可以将 wlan0 限制为端口 8883 (MQTT) 和 5900 (VCN)。这对我来说听起来很简单,但我就是无法理解 NFT 语法。感谢任何帮助(包括推荐的标签,例如用于非桥接的 sub)。

相关内容