Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#26 29-07-2019 09:17:14

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : Mise en place d'un pare feu

Bon en tous cas, j'utilise nftables pour mes pare-feux. La syntaxe de la
commande nft est très différente de celle d'iptables. Mais ce n'est pas le plus
difficile pour faire un filtre de paquets. Le plus difficile est comprendre
comment fonctionne tcp/ip.
Ma vision très parcellaire de ce fonctionnement me permet quand même de faire
des choses qui fonctionnent.

Je voulais quand même donner mon avis sur nft par rapport à iptables.
D'abord nft permet de configurer la partie netfilter du noyau qui s'appelle
nf_tables, alors qu'iptables configurait Xtables. Il y a pas mal de choses qui
ont changés avec nf_tables, voir ici les principales différences.

De mon point de vue de simple utilisateur qui n'a pas besoin de faire des
choses complexes, ce qui a surtout changé c'est la syntaxe de la commande nft
par rapport à iptables. La syntaxe de nft est plus claire et simple. Aussi, il
n'y a pas besoin de plusieurs commandes pour configurer ipv4 et ipv6. C'est
aussi nft qui sert à configurer le filtre arp (géré avant grâce à arptables (je
ne l'ai jamais utilisé)) et le filtre pour les ponts (géré précédemment avec
ebtables (jamais utilisé non plus)). Donc il n'y a plus qu'une seule commande à
la place de quatre.
Ce que je trouve bien mieux c'est que la sortie de la commande


nft list ruleset
 


est utilisable en tant que fichier de règles pour nft. Plus besoin de truc
comme iptables-save et iptables-restore.
Du coup on peut créer son pare-feu en interactif. Puis faire :


nft list ruleset >nftables.conf
 


Après un reboot on recharche les règles avec :


nft -f nftables.conf
 


Et chose extraordinaire, c'est ce qui est fait dans debian le fichier est :


/etc/nftables.conf
 


Le chargement est effectué par le service systemd :


nftables.service
 


Il faut aussi noter que la commande iptables installé par défaut
dans buster utilise en réalité nft. Ce qui fait que certaines choses
ne fonctionnent plus. Notamment une règle comme :


iptables -A INPUT -m pkttype --pkt-type broadcast -d 10.0.0.255/32 -j DROP
 


ne sera pas accepté. Je ne sais pas comment on peut le faire avec nftables.
Une solution dans ce cas est d'utiliser la commande iptables-legacy qui
configure x_tables au niveau du noyau. Notez, qu'il vaut mieux ne pas
mélanger les deux systèmes de filtre de paquets. Et tant qu'à faire
autant utiliser  soit nft, soit iptables, soit iptables-legacy, mais aucun
mélange sous peine de ne plus s'y retrouver. 

Un autre chose importante. Il est existe une commande qui permet
de faire la translation des règles iptables vers nft quand c'est possible :
iptables-translate (et ip6tables-translate pour ipv6).

Et enfin le wiki de nftables qui est très bien fait.

Dernière modification par enicar (29-07-2019 09:42:40)

Hors ligne

#27 29-07-2019 11:04:26

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : Mise en place d'un pare feu

Erutluc a écrit :

Il faut cliquer sur le lien pour savoir qu’est-ce que c’est.


Ce que j'avais fait… Mais je ne voyais pas le rapport avec le sujet, à savoir
« Mise en place d'un pare-feu ».

Hors ligne

#28 29-07-2019 12:31:12

raleur
Membre
Inscription : 03-10-2014

Re : Mise en place d'un pare feu

Erutluc a écrit :

Il faut cliquer sur le lien pour savoir qu’est-ce que c’est.


Très mauvaise pratique, digne des spammeurs et autres pièges à clics (pour rester correct).
Un lien devrait toujours être accompagné d'une description succinte permettant au lecteur de décider si ça l'intéresse ou pas. Pour ma part, je ne clique jamais sur un lien "sec".

Erutluc a écrit :


Petit extrait du site


Très bien. Il suffisait d'adjoindre cet extrait au lien.


Il vaut mieux montrer que raconter.

Hors ligne

Pied de page des forums