Czym jest łańcuch (chain) w zaporze?

**Łańcuch** to uporządkowana lista reguł. Gdy pakiet wchodzi do jądra, zapora przechodzi odpowiedni łańcuch od góry do dołu i stosuje pierwszą regułę, która pasuje. Trzy wbudowane łańcuchy w tabeli filter, którymi zajmuje się ten builder, to: **INPUT** (pakiety przeznaczone dla tej maszyny), **OUTPUT** (pakiety wychodzące z tej maszyny), **FORWARD** (pakiety przechodzące przez tę maszynę, jak na routerze). Jeśli dojdziesz do końca bez dopasowania, kopnie **domyślna polityka** łańcucha. Łańcuchy mogą też mieć **własne nazwy** do organizowania reguł, ale wszystkie ruleset-y zaczynają się od tych trzech wbudowanych.

Czym różnią się INPUT, OUTPUT i FORWARD?

To trzy kierunki ruchu, którymi zajmuje się linuksowa maszyna. **INPUT chain** widzi pakiety **adresowane do lokalnej maszyny**: ktoś łączy się do Twojego SSH, web servera, resolwera DNS. To łańcuch, który chroni Twoje usługi. **OUTPUT chain** widzi pakiety, które maszyna **wysyła**: wychodzące HTTP, zapytania DNS, wywołania API. Zwykle zostawia się go szeroko otwartym z polityką ACCEPT, bo ufasz własnemu oprogramowaniu. **FORWARD chain** widzi pakiety, które **przychodzą na jeden interfejs i wychodzą drugim**, bez adresacji do lokalnej maszyny. Tylko routery, gateway-e, NAT-y i hosty Dockera potrzebują reguł FORWARD. Na zwykłym serwerze FORWARD powinien mieć politykę DROP i być pusty.

Dlaczego ESTABLISHED,RELATED na samej górze?

Bo pierwsza reguła, do której pasuje pakiet, wygrywa, a **każdy pakiet zwrotny** każdego połączenia, które dopuściłeś, powinien pasować do tej jednej reguły. Bez niej musiałbyś pisać regułę odwrotną dla każdej usługi: "pozwól na port 80 przychodzący" ORAZ "pozwól na odpowiedź wychodzącą z portu 80", co podwaja ruleset i pęka, gdy o czymś zapomnisz. Daj tę regułę na pozycję **1** w INPUT i FORWARD: `iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT` Pasuje do pakietów, które należą do połączenia już śledzonego przez jądro (ESTABLISHED) albo do połączenia powiązanego, jak kanał danych FTP (RELATED). Efekt: piszesz reguły tylko dla **nowych** połączeń, a odpowiedziami zajmuje się sama zapora.

Co właściwie robi conntrack?

**Conntrack** to śledzenie połączeń w jądrze. Dla każdego strumienia TCP, UDP i ICMP, który widzi, conntrack zapisuje adres źródłowy, docelowy, port źródłowy, port docelowy i bieżący stan (NEW, ESTABLISHED, RELATED, INVALID). Dzięki temu zapora może dopasowywać po **stanie**, zamiast pisać dwie reguły na usługę. To właśnie czyni zaporę **stanową**: jądro wie "ten pakiet to odpowiedź na połączenie, które dopuściłem pięć sekund temu". Nowoczesne zapory używają `-m conntrack --ctstate` (iptables) albo `ct state` (nftables). Starsza składnia `-m state --state` nadal działa dla wstecznej kompatybilności, ale conntrack to wersja kanoniczna.

Stanowa vs bezstanowa, jaka jest różnica w praktyce?

**Bezstanowa zapora** patrzy na każdy pakiet osobno: źródło, cel, protokół, porty. Żeby pozwolić serwerowi odpowiedzieć na Twoje zapytanie, potrzebujesz osobnej reguły dla odpowiedzi. Ruleset rośnie dwukrotnie i możesz przepuścić odpowiedź, której nie planowałeś. **Stanowa zapora** pamięta aktywne połączenia w tabeli. Żeby pozwolić na odpowiedzi, wystarczy jedna reguła: "wszystko, co jest częścią istniejącego połączenia, akceptuj". To właśnie robi `-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT`. Jądro zna tabelę połączeń, Ty piszesz reguły tylko dla **nowych** strumieni. **Zawsze używaj dopasowania stanowego**, chyba że piszesz reguły dla routera obsługującego miliony pakietów na sekundę i narzut conntrack jest mierzalny.

Dlaczego ustawiać domyślną politykę na DROP?

**Domyślnie zablokuj** to bezpieczna postawa. Z polityką ACCEPT musisz wymienić wszystko złe, co chcesz zablokować, a to lista nieskończona. Z polityką DROP wymieniasz to nieliczne, co chcesz dopuścić, czyli krótką listę (SSH, HTTP, HTTPS, ruch zwrotny). Wszystko, o czym zapomniałeś, jest zablokowane, co jest dokładnie tym, czego chcesz na zaporze. **Najpierw zostaw sobie drogę powrotu**: napisz regułę ACCEPT dla SSH na porcie 22 (albo tym, którego używasz), przetestuj, a dopiero potem przełącz politykę na DROP. Jak przełączysz pierwsze, wyrzucisz sam siebie z własnego serwera.

Jak utrwalić reguły zapory między restartami?

Reguły dodane przez `iptables` albo `nft` siedzą w pamięci i **znikają po restarcie**. Żeby je utrzymać: **Debian / Ubuntu (iptables)**: zainstaluj `iptables-persistent`, potem `sudo netfilter-persistent save`. Reguły lądują w `/etc/iptables/rules.v4` oraz `rules.v6` i są ładowane przy starcie. **RHEL / CentOS (iptables)**: `sudo service iptables save` zapisuje do `/etc/sysconfig/iptables`. **Dowolna nowoczesna dystrybucja (nftables)**: wynik `sudo nft list ruleset` zapisz do `/etc/nftables.conf` i włącz usługę: `sudo systemctl enable nftables`. Przy starcie usługa woła `nft -f /etc/nftables.conf` i ruleset jest przywrócony. **Zalecany workflow**: trzymaj `/etc/nftables.conf` (albo wynik iptables-save) w repo. Traktuj zaporę jak każdy inny plik konfiguracyjny.

Czy kolejność reguł ma znaczenie?

**Tak, kolejność w iptables ma duże znaczenie**. Reguły w łańcuchu są ewaluowane **od góry do dołu** i **pierwsze dopasowanie wygrywa**. Kolejne reguły nie są sprawdzane. Więc to działa: reguła 1 = "ACCEPT SSH z 1.2.3.4", reguła 2 = "DROP all SSH". A to jest zepsute: reguła 1 = "DROP all SSH", reguła 2 = "ACCEPT SSH z 1.2.3.4" (DROP wygrywa, nikt nie wejdzie). **nftables działa tak samo**: reguły w łańcuchu idą od góry do dołu. Zawsze daj konkretne ACCEPT **przed** szerokimi DROP. Builder pozwala przestawiać reguły strzałkami w górę i w dół przy każdym wierszu.

Jak przetestować reguły, żeby się nie zablokować?

Trzy klasyczne triki. **1. Uruchom kill switch w drugim terminalu**: `sudo nohup sh -c 'sleep 300; iptables -F; iptables -P INPUT ACCEPT' &`. Jak coś zepsujesz, zapora sama się czyści po 5 minutach. Drugi terminal otwórz **przed** wgraniem nowych reguł. **2. Zaplanuj flush przez `at`**: `echo "iptables -F; iptables -P INPUT ACCEPT" | sudo at now + 10 minutes`. Ten sam pomysł, czyściej. **3. Użyj `iptables-apply` (Debian) albo `nft -c -f rules.conf`**: apply wymaga potwierdzenia w 10 sekund, inaczej cofa zmiany. `nft -c` robi suchy bieg, samo sprawdzenie składni. **Zawsze miej dostęp przez konsolę / IPMI / KVM** do serwera, zanim ruszysz reguły zapory na zdalnej maszynie. SSH to **jedyne**, co Cię trzyma; jedno błędne DROP i idziesz do datacenter na piechotę.

Builder iptables / nftables - darmowy

# iptables-legacy ruleset # Flush existing rules before applying iptables -F iptables -X # Default policies iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Rules iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "allow return traffic" # Save (Debian/Ubuntu): netfilter-persistent save # Save (RHEL/CentOS): service iptables save

# nftables ruleset (save as /etc/nftables.conf) #!/usr/sbin/nft -f flush ruleset table inet filter { chain input { type filter hook input priority 0; policy drop; ct state { established, related } accept comment "allow return traffic" } chain forward { type filter hook forward priority 0; policy drop; } chain output { type filter hook output priority 0; policy accept; } } # Apply: sudo nft -f /etc/nftables.conf # Persist on boot: sudo systemctl enable nftables

Czym jest ten builder iptables / nftables?

Zapora sieciowa w Linuksie odgania niechciany ruch od Twojego serwera. W jądrze są dwa narzędzia: iptables (klasyczne, od 1998), oraz nftables (nowoczesny następca, domyślnie na Debianie 11+, Ubuntu 22.04+, RHEL-u 9+ i większości aktualnych dystrybucji).

Ten builder pozwala napisać reguły w przyjaznym formularzu i generuje obie składnie naraz. Wybierasz łańcuch (INPUT, OUTPUT, FORWARD), akcję (ACCEPT, DROP, REJECT, LOG), protokół, źródło, cel, porty oraz stan połączenia, a w podglądzie dostajesz gotowy do wklejenia ruleset.

Wszystko dzieje się w Twojej przeglądarce: nic nie jest aplikowane, nic nie idzie na serwer, nic się nie wysyła. Kopiujesz wyjście, otwierasz swój terminal, uważnie czytasz, i uruchamiasz sam. Narzędzie tylko buduje reguły, nie wykonuje ich.

Kilka rzeczy, które warto wiedzieć przed startem:

Domyślna polityka łańcucha to to, co się dzieje, gdy żadna reguła nie pasuje. Ustawienie INPUT na DROP plus kilka konkretnych reguł ACCEPT to klasyczne "domyślnie zablokowane".
Kolejność reguł w iptables ma znaczenie: są one ewaluowane od góry do dołu, pierwsze dopasowanie wygrywa. Ustaw regułę dla ruchu zwrotnego (ESTABLISHED, RELATED) na samej górze, żeby nie urwać istniejących połączeń.
nftables jest deklaratywny (cała tabela to jeden dokument), iptables jest imperatywny (każda linia `-A` dokłada jedną regułę).

Jak tego użyć

Zacznij od presetu, jeśli możesz: "Podstawowy webserwer", "Zablokowane SSH", "Pozwól na LAN, blokuj WAN", "Docker forward chain" albo "Limit prób SSH". Każdy wypełnia rozsądne wartości startowe, które potem dopracujesz.
Ustaw domyślną politykę dla każdego łańcucha. Bezpieczna postawa to INPUT=DROP, FORWARD=DROP, OUTPUT=ACCEPT. Polityka OUTPUT zwykle to ACCEPT, bo ufasz własnemu serwerowi.
Dodaj reguły w odpowiedniej kolejności. Pierwsza reguła w INPUT powinna być: protokół=any, stan=ESTABLISHED+RELATED, akcja=ACCEPT. Dzięki temu istniejące połączenia przeżyją przeładowanie zapory.
Dla każdej reguły wybierz łańcuch, akcję, protokół, opcjonalny adres źródłowy (lub CIDR, np. 192.168.1.0/24), opcjonalny adres docelowy, opcjonalny port źródłowy lub docelowy, oraz stan połączenia, jeśli potrzebujesz dopasowania stanowego.
Użyj przełącznika conntrack, żeby wybrać między nowoczesnym `-m conntrack --ctstate` i starszym `-m state --state`. Nowoczesne jądra domyślnie używają conntrack, więc zostaw włączone, chyba że Twoja dystrybucja jest bardzo stara.
Obserwuj podgląd na żywo po prawej. Górny panel to iptables, dolny to nftables. Oba są synchronizowane z tego samego modelu i oba mają przycisk Kopiuj.
Przetestuj przed utrwaleniem. Skopiuj blok iptables, wklej na serwerze, uruchom. Jeśli się zablokujesz, reguły nie przeżyją restartu (siedzą tylko w pamięci). Po 5 minutach testów utrwal je: `netfilter-persistent save` (Debian/Ubuntu) albo zapisz blok nftables do `/etc/nftables.conf`.

Kiedy to się przydaje

Pięć konkretnych sytuacji, w których budowanie reguł w formularzu jest lepsze niż pisanie ręcznie:

Stawiasz świeży VPS i potrzebujesz zapory na start. Preset "Podstawowy webserwer" otwiera porty 22 (SSH), 80 (HTTP), 443 (HTTPS) i blokuje resztę. To kanoniczny pierwszy krok po instalacji serwera, a builder pisze go w obu składniach naraz, więc wybierzesz tę, której używa Twoja dystrybucja.
Migrujesz z iptables do nftables. Wiele dystrybucji (Debian 11+, RHEL 9+) zrobiło z nftables domyślne narzędzie, a stary `iptables` jest tam tylko wraperem. Wklej istniejące reguły iptables do formularza, przełącz podgląd na nftables i masz gotowy do zapisu plik `/etc/nftables.conf`.
Chcesz zamknąć SSH do jednego IP. Preset "Zablokowane SSH" pokazuje wzorzec: ACCEPT z adresu biura, LOG i DROP wszystko inne. Trzy reguły w odpowiedniej kolejności, ze stanem połączenia w zestawie.
Zarządzasz hostem Dockera i FORWARD chain jest bałaganem. Docker przepisuje FORWARD przy każdym restarcie, co jest OK, ale i tak musisz wiedzieć, jak wyglądają sensowne reguły. Preset "Docker forward chain" to czysta baza do adaptacji.
Uczysz kogoś sieci w Linuksie. Widok obok siebie iptables i nftables to najszybszy sposób, żeby pokazać równoważność: ten sam model, dwie składnie. Przełącz stan, obserwuj jak oba panele aktualizują się równocześnie, a relacja między `-m conntrack --ctstate` i `ct state` staje się oczywista.

Pytania i odpowiedzi

nftables jest aktualnym domyślnym narzędziem i przyszłością. Zastąpił iptables w stosie sieciowym jądra Linuksa i jest systemowym narzędziem na Debianie 11+, Ubuntu 22.04+, RHEL-u 9+, Fedorze 32+, Archu i openSUSE. iptables jest oficjalnie w trybie utrzymania: nadal działa (a komenda `iptables` na nowoczesnych dystrybucjach jest zwykle wraperem nad nftables), ale nowe funkcje już do niego nie przychodzą. Ucz się nftables do nowej roboty. Naucz się tyle iptables, żeby czytać starą dokumentację i istniejące serwery. Ten builder pokazuje oba, żebyś mógł tłumaczyć między nimi.

Czym jest ten builder iptables / nftables?

Kilka rzeczy, które warto wiedzieć przed startem:

Domyślna polityka łańcucha to to, co się dzieje, gdy żadna reguła nie pasuje. Ustawienie INPUT na DROP plus kilka konkretnych reguł ACCEPT to klasyczne "domyślnie zablokowane".
Kolejność reguł w iptables ma znaczenie: są one ewaluowane od góry do dołu, pierwsze dopasowanie wygrywa. Ustaw regułę dla ruchu zwrotnego (ESTABLISHED, RELATED) na samej górze, żeby nie urwać istniejących połączeń.
nftables jest deklaratywny (cała tabela to jeden dokument), iptables jest imperatywny (każda linia `-A` dokłada jedną regułę).

Jak tego użyć

Zacznij od presetu, jeśli możesz: "Podstawowy webserwer", "Zablokowane SSH", "Pozwól na LAN, blokuj WAN", "Docker forward chain" albo "Limit prób SSH". Każdy wypełnia rozsądne wartości startowe, które potem dopracujesz.

Ustaw domyślną politykę dla każdego łańcucha. Bezpieczna postawa to INPUT=DROP, FORWARD=DROP, OUTPUT=ACCEPT. Polityka OUTPUT zwykle to ACCEPT, bo ufasz własnemu serwerowi.

Dodaj reguły w odpowiedniej kolejności. Pierwsza reguła w INPUT powinna być: protokół=any, stan=ESTABLISHED+RELATED, akcja=ACCEPT. Dzięki temu istniejące połączenia przeżyją przeładowanie zapory.

Dla każdej reguły wybierz łańcuch, akcję, protokół, opcjonalny adres źródłowy (lub CIDR, np. 192.168.1.0/24), opcjonalny adres docelowy, opcjonalny port źródłowy lub docelowy, oraz stan połączenia, jeśli potrzebujesz dopasowania stanowego.

Użyj przełącznika conntrack, żeby wybrać między nowoczesnym `-m conntrack --ctstate` i starszym `-m state --state`. Nowoczesne jądra domyślnie używają conntrack, więc zostaw włączone, chyba że Twoja dystrybucja jest bardzo stara.

Obserwuj podgląd na żywo po prawej. Górny panel to iptables, dolny to nftables. Oba są synchronizowane z tego samego modelu i oba mają przycisk Kopiuj.

Przetestuj przed utrwaleniem. Skopiuj blok iptables, wklej na serwerze, uruchom. Jeśli się zablokujesz, reguły nie przeżyją restartu (siedzą tylko w pamięci). Po 5 minutach testów utrwal je: `netfilter-persistent save` (Debian/Ubuntu) albo zapisz blok nftables do `/etc/nftables.conf`.

Kiedy to się przydaje

Pięć konkretnych sytuacji, w których budowanie reguł w formularzu jest lepsze niż pisanie ręcznie:

Stawiasz świeży VPS i potrzebujesz zapory na start. Preset "Podstawowy webserwer" otwiera porty 22 (SSH), 80 (HTTP), 443 (HTTPS) i blokuje resztę. To kanoniczny pierwszy krok po instalacji serwera, a builder pisze go w obu składniach naraz, więc wybierzesz tę, której używa Twoja dystrybucja.
Migrujesz z iptables do nftables. Wiele dystrybucji (Debian 11+, RHEL 9+) zrobiło z nftables domyślne narzędzie, a stary `iptables` jest tam tylko wraperem. Wklej istniejące reguły iptables do formularza, przełącz podgląd na nftables i masz gotowy do zapisu plik `/etc/nftables.conf`.
Chcesz zamknąć SSH do jednego IP. Preset "Zablokowane SSH" pokazuje wzorzec: ACCEPT z adresu biura, LOG i DROP wszystko inne. Trzy reguły w odpowiedniej kolejności, ze stanem połączenia w zestawie.
Zarządzasz hostem Dockera i FORWARD chain jest bałaganem. Docker przepisuje FORWARD przy każdym restarcie, co jest OK, ale i tak musisz wiedzieć, jak wyglądają sensowne reguły. Preset "Docker forward chain" to czysta baza do adaptacji.
Uczysz kogoś sieci w Linuksie. Widok obok siebie iptables i nftables to najszybszy sposób, żeby pokazać równoważność: ten sam model, dwie składnie. Przełącz stan, obserwuj jak oba panele aktualizują się równocześnie, a relacja między `-m conntrack --ctstate` i `ct state` staje się oczywista.

Pytania i odpowiedzi

Builder iptables / nftables

Czym jest ten builder iptables / nftables?

Jak tego użyć

Kiedy to się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Kreator pliku ssh config

Sprawdzanie portu online

Builder konfiguracji nginx

Kreator jednostek systemd

Builder iptables / nftables

Czym jest ten builder iptables / nftables?

Jak tego użyć

Kiedy to się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Kreator pliku ssh config

Sprawdzanie portu online

Builder konfiguracji nginx

Kreator jednostek systemd