Sieht das nach einem ordentlichen Eintrag in die nftables.conf aus?

#!/usr/sbin/nft -f

table inet filter {

####################
# INPUT chain - Host-Zugriffe
####################
chain input {
type filter hook input priority 0;
policy drop;

# Alles bestehende/related erlauben
ct state established,related accept

# Host loopback
iif lo accept

# Samba nur für Heimnetz erlauben
ip saddr 192.168.178.0/24 tcp dport 445 accept

# Optional: ICMP Ping aus Heimnetz erlauben
#ip saddr 192.168.178.0/24 icmp type echo-request accept
}

####################
# FORWARD chain - VM Traffic unangetastet lassen
####################
chain forward {
type filter hook forward priority 0;

# Blockiere Verkehr Heim- und Gastnetz (br0 und br1)
iif "br0" oif "br1" drop
iif "br1" oif "br0" drop

# Standard: alles andere durchlassen
policy accept

# Alle Forward-Pakete passieren ungehindert
# VMs verwalten ihre eigene Firewall intern
}

####################
# OUTPUT chain - Host ausgehend
####################
chain output {
type filter hook output priority 0;
policy accept
}
}


Das soll in eine config für einen Homeserver, der rein "zu Hause" arbeitet. Keine Ports nach draußen offen. EInfach nur eine minimale Firewall.

Wenn du nicht mehrere logische Netze bei der zu hause hast, lass doch einfach das Gateway/Router Eintrag weg. Dann brauchst auch keine Firewall und der Server ist nur im Subnetz erreichbar.

Ich habe zwei Netzwerkkarten, die eine onboard und die andere per USB angebunden. Die per USB lauscht auf dem Gastnetz, die andere im Heimnetz. Das Gastnetz wird an eine VM weitergereicht, die Jellyfin innehat und die TVs mit Filmen/Serien bedient.
Deswegen hab ich das Gedöns mit br0 und br1.

Alles was ich möchte, ist, dass die Firewall hier das Gleiche oder Selbe(?) macht, wie die Regeln, die ich von UFW kenne; hier wäre das: ufw allow from 192.168.178.22 proto tcp to any port 445.
Das ist alles, was ich bisher genutzt habe.
Ich muss hier aber nftables nutzen, weil hmmm, weil 1. ich auf chatgpt gehört habe ... und 2. weil ich 2 VMs habe die DOcker nutzen und Docker einen Fick auf UFW gibt und ich somit rausbekommen muss, wie ich dort eine ordentliche Firewall aufbauen kann.


Wenn also dieser Eintrag eine gute Basis ist, kann ich mich von dort aus weiterhangeln.

Und jetz kommts mir erst, was meinst du mit Gateway7Router Eintrag?

Danke für deine Hilfe!

Edit: Keine VM oder auch der Host öffnen einen Port nach "draußen". Das wollte ich nochmal erwähnen. Die VMs mit Docker werden in der Fritzbox vom Internet getrennt als zusätzliche Barriere ... bis man updaten muss... ich behaupte nicht, dass mein System clever ist.

UFW ist doch nur ein Frontend. Und es unterstützt nftables als Backend.

Theoretisch solltest du dich nicht umstellen müssen - ich habe von UFW aber keine Ahnung und weiß nicht, wie man das Backend umstellt.

Wenn aus irgend welchen Gründen dein System auf iptables statt nftables setzt, kannst auch mal hier schauen:
https://github.com/chaifeng/ufw-docker

Ansonsten ist das vlt. auch einen Blick wert:
https://unix.stackexchange.com/questions/722007/translate-firewall-rule-from-iptables-to-nftables#722011

Ich bin da aber kein Profi und habe mich selbst erst 2 Monate mit netfilter/nftables auseinander gesetzter...

Und was Docker angeht, kannst du dir mal Podman ansehen. Je nach Nutzung ist der Schritt recht klein. Unter Linux mmn die bessere Wahl.
Hilft dir aber mit deinem FW Problem kein Bisschen...

Bin jetzt nicht der größte nftables Experte, aber auf den ersten Blick sieht das ok aus.
policy accept scheint mir redundant, da das doch Standard ist, aber schadet am Ende auch nicht, das so auszuschreiben.

Willst du denn keinen ssh Zugriff auf den Server haben? Das wäre etwas, das bei mir nicht optional wäre. Da würde ich aber rate limiting empfehlen. Bei mir sieht das z.B. so aus:
tcp dport ssh ct state new limit rate 15/minute accept

bzgl. der VMs: ich würde überlegen, ob man die Firewall nicht besser auf dem Server handhabt. Dann hast du das zentral kontrolliert. Auch da macht rate limiting ggf. Sinn.

Es ist ein Moni und eine Logitech K400 dran, SSH wird erstma nicht gebraucht, trotzdem Danke für den Tip. Ich habs schon eingetragen aber auskommentiert.

Du bist jetzt der Dritte der meint, dass man das so stehen lassen kann, wenn man möchte... sozusagen :D
(habe die Frage noch in einem anderen Forum gestellt)

Das reicht mir - ich werd das nun so machen. Danke!

Wenn man AI so etwas fragt, dann ist es meistens auch keine schlechte Idee einfach noch mal eine andere AI drüber schauen zu lassen. Auswahl gibt es ja genug. :)

Im Arch Wiki gibt es übrigens auch noch ein paar Beispiele für nftables Konfigurationen:
https://wiki.archlinux.org/title/Nftables#Examples

Ich hab Claude die gleiche Frage gestellt und es kam im Prinzip die gleiche Antwort. Danke für den Tip!