Firewall

Unter Beckhoff RT Linux® wird nftables als Firewall verwendet, ein Framework des Netfilter-Projekts, das Paketfilterung, Netzwerkadressübersetzung (NAT) und andere Anwendungen ermöglicht. Die Firewall nftables ist das standardmäßige und empfohlene Firewall-Framework in Debian und ersetzt die alten iptables und verwandte Werkzeuge. Die Firewall ist standardmäßig restriktiv bezüglich eingehenden und weitergeleiteten Verbindungen. Erlaubt sind notwendige Verbindungen wie lokale Loopback-Kommunikation, SSH (Port 22), ICMP und ICMPv6. Alle ausgehenden Verbindungen sind zugelassen.

Sie können das Kommandozeilenwerkzeug nft verwenden, um Firewall-Regeln zu verwalten und zu prüfen. Standardmäßig führt der Service nftables.service beim Systemstart nft aus, um ein Standard-Regelwerk aus dem Verzeichnis /etc/nftables-bhf.conf zu laden.

Wenn Sie eigene Firewall-Regeln hinzufügen möchten, können Sie zusätzliche nftables-Dateien in /etc/nftables.conf.d/ ablegen. Nach dem Hinzufügen oder Ändern von Firewall-Regeln starten Sie den nftables-Service neu, damit die Änderungen übernommen werden:

sudo systemctl restart nftables

Nützliche nft-Kommandos

Um das aktuelle Firewall-Regelwerk anzuzeigen, verwenden Sie folgenden Befehl:

sudo nft list ruleset

Um vorübergehend alle aktiven Regeln zu löschen und die Paketfilterung zu deaktivieren, verwenden Sie:

sudo nft flush ruleset

Um ein bestimmtes Regelwerk aus einer Datei anzuwenden, verwenden Sie:

sudo nft -f /path/to/your/ruleset.nft

Um zu prüfen, ob der nftables-Service aktiv und ausgeführt wird, verwenden Sie:

systemctl status nftables

Die Ausgabe sieht wie folgt aus:

● nftables.service – nftables
     Loaded: loaded (/usr/lib/systemd/system/nftables.service; enabled; preset: enabled)
    Drop-In: /usr/lib/systemd/system/nftables.service.d
                  └─50-use-nftables-bhf.conf
     Active: active (exited) since Mon 2026-01-26 11:29:18 UTC; 1h 48min ago
 Invocation: af5456023c554dc6937dbbccd3627f6c
       Docs: man:nft(8)
                  http://wiki.nftables.org
    Process: 464 ExecStart=/usr/sbin/nft -f /etc/nftables-bhf.conf (code=exited,status=0/SUCCESS)
   Main PID: 464 (code=exited, status=0/SUCCESS)
   Mem peak: 6.3M
        CPU: 34ms
Weiterführende Informationen