Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 03-08-2019 15:11:12

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

[resolu]Migration de iptables a nftables sur une passerelle

Bonjour

même question que ici => https://debian-facile.org/viewtopic.php … 85#p307385  mais pour une passerelle
donc dans un premier temps la gestion des paquets par le noyau entre par exemple enp6s0 et enp6s1
le fichier chargé dans le fichier "/etc/network/interfaces"


# Generated by iptables-save v1.6.0 on Tue Oct 11 01:06:14 2016
*nat
:PREROUTING ACCEPT [7:532]
:INPUT ACCEPT [7:532]
:OUTPUT ACCEPT [40:2618]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o enp6s0f0 -j MASQUERADE
COMMIT
# Completed on Tue Oct 11 01:06:14 2016
# Generated by iptables-save v1.6.0 on Tue Oct 11 01:06:14 2016
*filter
:INPUT ACCEPT [434:364232]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [423:60774]
COMMIT
# Completed on Tue Oct 11 01:06:14 2016
 



ps: pour le pare-feu partir de zéro avec nftables si j' arrive a comprendre roll
mais déjà passer a nftables sans casser le nat  hmm

Dernière modification par robert2a (13-08-2019 00:29:09)

Hors ligne

#2 03-08-2019 22:06:50

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

j'ai commencé par une machine de bureau (iptables non utilisé , pas de pare-feu )
installé le paquet nftables
enlevé le paquet iptables
créé le service


systemctl enable nftables.service
Created symlink /etc/systemd/system/sysinit.target.wants/nftables.service → /lib/systemd/system/nftables.service.
 


lancer nftables


systemctl start nftables.service
 


vérifier le status


service nftables status
 



● nftables.service - nftables
   Loaded: loaded (/lib/systemd/system/nftables.service; enabled; vendor preset: enabled)
   Active: active (exited) since Sat 2019-08-03 22:54:59 CEST; 6min ago
     Docs: man:nft(8)
           http://wiki.nftables.org
  Process: 1438 ExecStart=/usr/sbin/nft -f /etc/nftables.conf (code=exited, status=0/SUCCESS)
 Main PID: 1438 (code=exited, status=0/SUCCESS)

août 03 22:54:59 raven2200g systemd[1]: Starting nftables...
août 03 22:54:59 raven2200g systemd[1]: Started nftables.
 


redémarrer la machine voir si le service est toujours bien actif

le man est bien chargé  hmm roll

j'ai trouvé cette commande


nft list ruleset; date; who -b
 



table inet filter {
  chain input {
    type filter hook input priority filter; policy accept;
  }

  chain forward {
    type filter hook forward priority filter; policy accept;
  }

  chain output {
    type filter hook output priority filter; policy accept;
  }
}
samedi 3 août 2019, 23:07:43 (UTC+0200)
         démarrage système 2019-08-03 22:48
 



"filter" est actif et accepte tout
jusque la c'est simple , plus que iptables , la suite je sais pas  roll

le service est actif mais un souci de journal


● nftables.service - nftables
   Loaded: loaded (/lib/systemd/system/nftables.service; enabled; vendor preset: enabled)
   Active: active (exited) since Sat 2019-08-03 23:13:15 CEST; 17min ago
     Docs: man:nft(8)
           http://wiki.nftables.org
  Process: 293 ExecStart=/usr/sbin/nft -f /etc/nftables.conf (code=exited, status=0/SUCCESS)
 Main PID: 293 (code=exited, status=0/SUCCESS)

Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.
 



ce lien utile je pense  =>  https://wiki.nftables.org/wiki-nftables … /Main_Page

Dernière modification par robert2a (03-08-2019 22:36:26)

Hors ligne

#3 04-08-2019 10:19:37

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

Tu peux regarder https://wiki.nftables.org/wiki-nftables … tion_(NAT)
pour mettre en place la « masquerade » ou faire du snat. Ils donnent des exemples faciles
à comprendre.

Ça devrait ressembler à ça :


table ip nat {
    chain prerouting {
        type nat hook prerouting priority 0;
    }
    chain postrouting {
        type nat hook postrouting priority 100;
        # oif enp6s0f0 masquerade
        masquerade
    }
}
 


mais je ne suis pas parfaitement sûr de la syntaxe pour la
ligne « oif enp6s0f0 masquerade », donc je l'ai mise en commentaire.
Par contre « masquerade » seul fonctionnera.

Tu peux essayer de faire traduire la règle iptables pour la masquerade
vers nftables en utilisant iptables-translate.

Je pense que ça t'intéressera : https://wiki.nftables.org/wiki-nftables … o_nftables

Dernière modification par enicar (04-08-2019 10:53:45)

Hors ligne

#4 04-08-2019 11:53:52

Debian Alain
Adhérent(e)
Lieu : Bretagne
Distrib. : stable / testing
Noyau : Linux 5.9.0-1-amd64
(G)UI : Gnome X.org (X11) / GDM3
Inscription : 11-03-2017
Site Web

Re : [resolu]Migration de iptables a nftables sur une passerelle

@ robert2a

cela peut il t'aider ??? :  it-connect.fr : cours sur nftables

en suivant bien les liens ....

En ligne

#5 04-08-2019 15:02:13

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

Bonjour
pour commencer il faut casser hmm
commenter dans /etc/network/interfaces la ligne :


# pare-feu
#post-up iptables-restore < /etc/firewall
 


garder je suppose dans /etc/sysctl.conf la ligne active (sans le "#") pour que le noyau autorise le passage des paquets


# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
 


installer nftables , supprimer le paquet  iptables , désactiver le module "iptables"


rmmod iptable_nat
 


installer le service


systemctl enable nftables.service
 


redémarrer la machine ou activer le service ( a vérifier)


systemctl start nftables.service
 


créer les règles pour le nat


nft add table nat
 



nft add chain nat prerouting { type nat hook prerouting priority 0 \; }
 



nft add chain nat postrouting { type nat hook postrouting priority 100 \; }
 



redémarrer la machine

par contre je bloque sur l'équivalent de ceci avec nftables


-A POSTROUTING -o enp6s0f0 -j MASQUERADE
 


ma carte coté net est "enp6s0f0" , et "enp6s0f1" coté sous réseau local
la commande sur le lien de enicar


nft add rule nat postrouting masquerade
 


ps: le nom de la carte réseau pas précisé sur cette commande   hmm

nota : pas de filtrage pour l'instant , juste mettre en place le nat

Hors ligne

#6 04-08-2019 15:12:27

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

ça ce complique , nftables est déjà installé sur le serveur en buster  roll
le nftables.conf


#!/usr/sbin/nft -f

flush ruleset

table inet filter {
        chain input {
                type filter hook input priority 0;
        }
        chain forward {
                type filter hook forward priority 0;
        }
        chain output {
                type filter hook output priority 0;
        }
}
 


et il n'est pas actif


service nftables status
 



● nftables.service - nftables
   Loaded: loaded (/lib/systemd/system/nftables.service; disabled; vendor preset: enabled)
   Active: inactive (dead)
     Docs: man:nft(8)
           http://wiki.nftables.org
 


en utilisant la commande de enicar


nft list ruleset >/etc/nftables.conf
 


voila le résultat


table ip nat {
        chain PREROUTING {
                type nat hook prerouting priority -100; policy accept;
        }

        chain INPUT {
                type nat hook input priority 100; policy accept;
        }

        chain POSTROUTING {
                type nat hook postrouting priority 100; policy accept;
                oifname "enp6s0f0" counter packets 43877 bytes 3234481 masquerade
        }

        chain OUTPUT {
                type nat hook output priority -100; policy accept;
        }
}
table ip filter {
        chain INPUT {
                type filter hook input priority 0; policy accept;
        }

        chain FORWARD {
                type filter hook forward priority 0; policy accept;
        }

        chain OUTPUT {
                type filter hook output priority 0; policy accept;
        }
}
 



le top se truc  tongue
plus qu'a créer les règles "filter" , sur une passerelle c'est casse pied , beaucoup de choses a gérer , plus simple sur un ordinateur de bureau roll


rmmod: ERROR: Module iptable_nat is not currently loaded
 




service nftables status
 



● nftables.service - nftables
   Loaded: loaded (/lib/systemd/system/nftables.service; enabled; vendor preset: enabled)
   Active: active (exited) since Sun 2019-08-04 16:26:28 CEST; 35s ago
     Docs: man:nft(8)
           http://wiki.nftables.org
  Process: 12094 ExecStart=/usr/sbin/nft -f /etc/nftables.conf (code=exited, status=0/SUCCESS)
 Main PID: 12094 (code=exited, status=0/SUCCESS)

août 04 16:26:28 debian1 systemd[1]: Starting nftables...
août 04 16:26:28 debian1 systemd[1]: Started nftables.
 

Dernière modification par robert2a (04-08-2019 15:28:20)

Hors ligne

#7 04-08-2019 15:27:55

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

robert2a a écrit :

plus qu'a créer les règles "filter" , sur une passerelle c'est casse pied


Si tu avais déjà des règles pour la table filter dans iptables, tu devrais les récupérer
aussi.

robert2a a écrit :

par contre je bloque sur l'équivalent de ceci avec nftables


-A POSTROUTING -o enp6s0f0 -j MASQUERADE
 


Tu pourrais essayé :


nft add rule nat posrouting oifname enp6s0f0 masquerade
 


Mais je préfère tout mettre dans un fichier et regrouper les commandes
comme je l'ai fait dans mon exemple post #3.

Dernière modification par enicar (04-08-2019 15:29:34)

Hors ligne

#8 04-08-2019 15:40:25

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

pour le masquerade j'ai ceci


chain POSTROUTING {
                type nat hook postrouting priority 100; policy accept;
                oifname "enp6s0f0" counter packets 43877 bytes 3234481 masquerade
 



pour les règles je préfère partir de de zéro avec nftables , donc j'ai pas repris l'existant
pas mal de choses a filtrer avec les clients et le serveur  hmm

Hors ligne

#9 04-08-2019 15:57:22

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

robert2a a écrit :

pour le masquerade j'ai ceci


chain POSTROUTING {
                type nat hook postrouting priority 100; policy accept;
                oifname "enp6s0f0" counter packets 43877 bytes 3234481 masquerade
 



pour les règles je préfère partir de de zéro avec nftables , donc j'ai pas repris l'existant
pas mal de choses a filtrer avec les clients et le serveur  hmm



Remarque tu peux supprimer :


packets 43877 bytes 3234481
 


dans la ligne oifname. Tu peux aussi supprimer « counter » si
c'est une infomration dont tu ne te sers pas.

Quant à repartir de zéro, c'est une attitude saine. Tu voudras probablement
utilisé le suivis de connexion avec par exemple :


table ip filter {
    chain input {
        type filter hook input priority 0; policy drop;
        iif lo accept
        ct state invalid  limit rate 4/second burst 5 packets  log prefix "INVALID_INPUT " drop
        ct state established,related accept
        icmp type { destination-unreachable,time-exceeded, parameter-problem } accept
        # le reste pour le filtrage de la chaîne input ici
    }
}

 


Je montre en passant comment écrire une règle qui permet de garder une trace
dans les logs des paquets que l'on jette lorsque que le status est invalide
pour le suivi de connexion en une seule règle. Évidemment, il faut aussi
que tu crées les chaînes output et forward pour la table filter.

EDIT: J'avais oublié accept en fin de règle pour l'icmp, c'est ballot.

Dernière modification par enicar (05-08-2019 12:58:41)

Hors ligne

#10 04-08-2019 16:16:32

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

pour le nat  "masquerade" c'est modifié , je ne l'utilise pas .


chain POSTROUTING {
                type nat hook postrouting priority 100; policy accept;
                oifname "enp6s0f0" masquerade
        }
 



pour les "log" justement je comprend pas ceci


Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.
 


quelque chose est pas correct , il doit y avoir des traces dans le syslog ?

Hors ligne

#11 04-08-2019 16:21:16

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

robert2a a écrit :

pour les "log" justement je comprend pas ceci


Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.
 


quelque chose est pas correct , il doit y avoir des traces dans le syslog ?


C'est peut-être que les journaux classiques dans /var/log/ ne sont
pas activés et seulement accesible via journalctl. Je ne sais pas
comment ça coopère avec le pare-feu cette histoire.

Hors ligne

#12 04-08-2019 16:26:46

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

Hors ligne

#13 04-08-2019 16:28:41

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

Bon les logs concernés sont ceux du noyau, bien évidemment. On devrait au moins
les vois dans le dmesg. Sinon on peut les voir avec journalctl :


journalctl -k
 

Hors ligne

#14 04-08-2019 16:30:17

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

robert2a a écrit :

j'ai trouvé ceci  =>  https://wiki.nftables.org/wiki-nftables … ng_traffic


La règle que j'ai donné avec log, fonctionne parfaitement chez moi, mais j'ai laissé
en place rsyslog. Je n'ai aucun message d'erreur ou d'avertissement.

Le fait d'utiliser la cible log devrait charger les modules :


nf_log_ipv4
nf_log_common
nft_log
 

Dernière modification par enicar (04-08-2019 16:33:43)

Hors ligne

#15 05-08-2019 00:47:43

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

j'ai fait une bêtise , je suis revenu en mode "iptables"
au moins j' aurai testé le retour en arrière  tongue
j'ai perdu la carte réseau du sous réseau (dhcpd hs et bind9)
je pense que j'ai fait une erreur sur mon fichier "interfaces" en voulant le nettoyer. (de ce que j'ai trouvé sur les logs )

on testera de nouveau.

par contre nf_log ce sont des commandes ? (ça n'a pas fonctionné )
a partir de ma petite machine en raven de test je vais me faire la main
il faut que je trouve pourquoi cette erreur de log (la même chose sur les deux machines).
ps: bien faire une sauvegarde de la configuration en iptables avant de passer en nftables , aucun soucis pour revenir en arrière si besoin.

Hors ligne

#16 05-08-2019 00:51:01

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

robert2a a écrit :

par contre nf_log ce sont des commandes ?


pas du tout, ce que j'ai listé post #14, ce sont des modules du noyau que l'on peut
voir avec


lsmod
 

Hors ligne

#17 05-08-2019 00:55:11

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

robert2a a écrit :

ps: bien faire une sauvegarde de la configuration en iptables avant de passer en nftables , aucun soucis pour revenir en arrière si besoin.


En effet, sachant que la commande iptables de buster utilise en réalité nftables à moins d'utiliser
iptables-legacy. Et même si tu veux utiliser x_tables au niveau du noyau au lieu de nf_tables
il n'y a pas de soucis. Le seul truc c'est qu'il ne faut pas utiliser les deux systèmes (x_tables configuré
avec iptables-legacy, et nf_tables configuré avec nft) en même temps.

Hors ligne

#18 05-08-2019 11:50:43

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

Bonjour
je n'arrive pas a supprimer cette erreur de log , avec ceci l'erreur disparaît après le démarrage :


systemctl restart nftables.service
 


ps: tant que je redémarre pas la machine l'erreur n'apparaît plus
du wiki debian j'ai fais ceci qui ne change rien


The default starting with Debian Buster:

update-alternatives --set iptables /usr/sbin/iptables-nft
update-alternatives --set ip6tables /usr/sbin/ip6tables-nft
update-alternatives --set arptables /usr/sbin/arptables-nft
update-alternatives --set ebtables /usr/sbin/ebtables-nft
 


j'ai recommencé du début , remit le paquet "iptables" , supprimé puis recréé le service "nftables.service"
testé un "drop" sur la chaine "input" , firefox n'a plus le net , ce qui est normal
a part d'être sur d'utiliser "nftables.conf" comme tables , pour le reste je suis sur de rien
par exemple ce que tu affirme


sachant que la commande iptables de buster utilise en réalité nftables à moins d'utiliser iptables-legacy.
 


ps: je suis en testing (depuis la mise en service de la machine de bureau) , le serveur est en buster , ce que je remarque une testing n'installe pas le paquet nftables , un dist-upgrade de stretch vers buster installe le paquet nftables.
si je laisse la machine allumé (après un restart du service)


systemctl status nftables.service
● nftables.service - nftables
   Loaded: loaded (/lib/systemd/system/nftables.service; enabled; vendor preset: enabled)
   Active: active (exited) since Mon 2019-08-05 12:21:49 CEST; 17min ago
     Docs: man:nft(8)
           http://wiki.nftables.org
  Process: 1731 ExecStart=/usr/sbin/nft -f /etc/nftables.conf (code=exited, status=0/SUCCESS)
 Main PID: 1731 (code=exited, status=0/SUCCESS)

août 05 12:21:49 raven2200g systemd[1]: Starting nftables...
août 05 12:21:49 raven2200g systemd[1]: Started nftables.
 


ps: pas d'erreur de log (en service depuis 17mn)
je vais commencer a créer mes règles pour "input" sur cette machine

remarque:
pour ceci sur le net je trouve des pistes mais pas pour "nftables" , l'erreur est  connu


Journal has been rotated since unit was started. Log output is incomplete or unavailable.
 

Hors ligne

#19 05-08-2019 12:08:04

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

robert2a a écrit :

par exemple ce que tu affirme

enicar a écrit :


sachant que la commande iptables de buster utilise en réalité nftables à moins d'utiliser iptables-legacy.



ps: je suis en testing (depuis la mise en service de la machine de bureau) , le serveur est en buster , ce que je remarque une testing n'installe pas le paquet nftables , un dist-upgrade de stretch vers buster installe le paquet nftables.



Il ne faut pas tout confondre. Il y a plusieurs choses que j'ai appelé
nftables. Le système dans le noyau s'appelle nf_tables. Le service
systemd s'appelle nftables.service.

De plus si tu configures ton pare-feu avec la commande iptables-nft, cela
utilisera le système nf_tables au niveau du noyau, mais ça n'a rien
à voir avec nftables.service ou la commande nft (du paquet nftables qui
n'a pas besoin d'être installé dans ce cas).

Si tu configures ton pare-feu avec iptables-legacy, le système
x_tables du noyau sera utilisé.

Donc en clair, si tu utilises iptables pour configurer le pare-feu
tu peux virer le paquet nftables ou au moins désactiver « nftables.service ».

En ce qui concerne testing, je ne sais pas trop. J'utilise sid, et au moment
où la commande iptables est devenue iptables-nft, j'ai installé le paquet
nftables pour tout configuré avec « nftables » car il y avait des règles
de mon pare-feu avec iptables qui n'étaient pas traduisible en nftables.

C'est plus clair ?

Hors ligne

#20 05-08-2019 12:41:33

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

clair oui et non  tongue
j'ai testé ta proposition


nft list table ip filter
 



table ip filter {
  chain input {
    type filter hook input priority filter; policy drop;
    iif "lo" accept
    ct state invalid limit rate 4/second log prefix "INVALID_INPUT " drop
    ct state established,related accept
    icmp type { destination-unreachable, time-exceeded, parameter-problem }
  }

  chain forward {
    type filter hook forward priority filter; policy accept;
  }

  chain output {
    type filter hook output priority filter; policy accept;
  }
}
 


c'est ceci qui me permet d'avoir le net (tout ce qui est demande en sortie , la réponse sera accepté )


ct state established,related accept
 


ps: mais pour le log toujours l'erreur

ma table au départ était une "table net filter" .

ce qui me perturbe c'est ce mélange iptables , legacy et nftables.
j'ai besoin d' assimiler les bases , déjà avec iptables pas terrible . (utilisation de choses sur le net , pas comprendre ce que l'on fait c'est pas top).
merci pour le coup de main smile

Hors ligne

#21 05-08-2019 12:49:33

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

robert2a a écrit :

ce qui me perturbe c'est ce mélange iptables , legacy et nftables.


Ben, c'est pour ça que j'ai tout basculé en nftables pur. Je n'aimais pas trop
le fait que iptables configure nf_tables au lieu de x_tables. J'aurais aussi pu
utiliser iptables-legacy, mais ça faisait plusieurs années que je me disais qu'il
fallait apprendre à me servir de nftables.

Hors ligne

#22 05-08-2019 12:57:12

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

Pour la chaîne forward, tu peux aussi remettre le suivis de connexions
et l'icmp et aussi passer la policy à drop.


table ip filter {
  chain input {
    type filter hook input priority filter; policy drop;
    iif "lo" accept
    ct state invalid limit rate 4/second log prefix "INVALID_INPUT " drop
    ct state established,related accept
    icmp type { destination-unreachable, time-exceeded, parameter-problem } accept
  }

  chain forward {
    type filter hook forward priority filter; policy drop;
    ct state invalid limit rate 4/second log prefix "INVALID_INPUT " drop
    ct state established,related accept
    icmp type { destination-unreachable, time-exceeded, parameter-problem } accept
  }

  chain output {
    type filter hook output priority filter; policy accept;
  }
}
 


Pour ce qui est du problème avec les logs, je ne sais vraiment pas
ce qui se passe.
Edit : J'avais oublié de mettre accept pour les règles de l'icmp dans le
post #9 ce qui est corrigé, à présent.

Dernière modification par enicar (05-08-2019 13:19:03)

Hors ligne

#23 05-08-2019 12:58:54

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

lsmod est plus bavard maintenant


lsmod
 



Module                  Size  Used by
fuse                  122880  3
binfmt_misc            20480  1
nls_ascii              16384  1
nls_cp437              20480  1
vfat                   20480  1
fat                    86016  1 vfat
amdkfd                233472  1
eeepc_wmi              16384  0
asus_wmi               32768  1 eeepc_wmi
sparse_keymap          16384  1 asus_wmi
wmi_bmof               16384  0
rfkill                 28672  2 asus_wmi
edac_mce_amd           28672  0
evdev                  28672  18
kvm_amd               106496  0
amdgpu               3416064  4
ccp                    98304  1 kvm_amd
rng_core               16384  1 ccp
kvm                   724992  1 kvm_amd
efi_pstore             16384  0
irqbypass              16384  1 kvm
snd_hda_codec_realtek   122880  1
serio_raw              16384  0
crct10dif_pclmul       16384  0
snd_hda_codec_generic    86016  1 snd_hda_codec_realtek
crc32_pclmul           16384  0
chash                  16384  1 amdgpu
efivars                20480  1 efi_pstore
gpu_sched              28672  1 amdgpu
ttm                   126976  1 amdgpu
snd_hda_codec_hdmi     57344  1
ghash_clmulni_intel    16384  0
drm_kms_helper        200704  1 amdgpu
snd_hda_intel          45056  7
pcspkr                 16384  0
snd_hda_codec         151552  4 snd_hda_codec_generic,snd_hda_codec_hdmi,snd_hda_intel,snd_hda_codec_realtek
snd_hda_core           94208  5 snd_hda_codec_generic,snd_hda_codec_hdmi,snd_hda_intel,snd_hda_codec,snd_hda_codec_realtek
drm                   483328  7 gpu_sched,drm_kms_helper,amdgpu,ttm
snd_hwdep              16384  1 snd_hda_codec
snd_pcm               114688  4 snd_hda_codec_hdmi,snd_hda_intel,snd_hda_codec,snd_hda_core
k10temp                16384  0
snd_timer              36864  1 snd_pcm
snd                    94208  22 snd_hda_codec_generic,snd_hda_codec_hdmi,snd_hwdep,snd_hda_intel,snd_hda_codec,snd_hda_codec_realtek,snd_timer,snd_pcm
i2c_algo_bit           16384  1 amdgpu
soundcore              16384  1 snd
sp5100_tco             16384  0
sg                     36864  0
wmi                    28672  2 asus_wmi,wmi_bmof
video                  45056  1 asus_wmi
button                 16384  0
pcc_cpufreq            16384  0
acpi_cpufreq           24576  0
nf_log_ipv4            16384  1
nf_log_common          16384  1 nf_log_ipv4
nft_log                16384  1
nft_limit              16384  1
nft_ct                 20480  2
nf_conntrack          163840  1 nft_ct
nf_defrag_ipv6         20480  1 nf_conntrack
nf_defrag_ipv4         16384  1 nf_conntrack
libcrc32c              16384  1 nf_conntrack
nf_tables_set          32768  1
nf_tables             143360  17 nft_ct,nft_log,nft_limit,nf_tables_set
nfnetlink              16384  1 nf_tables
lm78                   20480  0
hwmon_vid              16384  1 lm78
parport_pc             32768  0
ppdev                  20480  0
lp                     20480  0
parport                57344  3 parport_pc,lp,ppdev
efivarfs               16384  1
ip_tables              28672  0
x_tables               45056  1 ip_tables
autofs4                49152  2
ext4                  733184  2
crc16                  16384  1 ext4
mbcache                16384  1 ext4
jbd2                  122880  1 ext4
crc32c_generic         16384  0
fscrypto               32768  1 ext4
ecb                    16384  0
sr_mod                 28672  0
cdrom                  65536  1 sr_mod
sd_mod                 61440  6
hid_generic            16384  0
usbhid                 57344  0
hid                   135168  2 usbhid,hid_generic
crc32c_intel           24576  5
aesni_intel           200704  1
aes_x86_64             20480  1 aesni_intel
crypto_simd            16384  1 aesni_intel
cryptd                 28672  3 crypto_simd,ghash_clmulni_intel,aesni_intel
glue_helper            16384  1 aesni_intel
i2c_piix4              24576  0
ahci                   40960  4
xhci_pci               16384  0
libahci                40960  1 ahci
xhci_hcd              266240  1 xhci_pci
libata                270336  2 libahci,ahci
r8169                  86016  0
usbcore               290816  3 xhci_hcd,usbhid,xhci_pci
realtek                20480  0
scsi_mod              245760  4 sd_mod,libata,sg,sr_mod
libphy                 77824  3 r8169,realtek
usb_common             16384  1 usbcore
gpio_amdpt             16384  0
gpio_generic           16384  1 gpio_amdpt
 


en autre


nf_log_ipv4            16384  1
nf_log_common          16384  1 nf_log_ipv4
nft_log                16384  1
 


et


nf_tables_set          32768  1
nf_tables             143360  17 nft_ct,nft_log,nft_limit,nf_tables_set
nfnetlink              16384  1 nf_tables

ip_tables              28672  0
x_tables               45056  1 ip_tables
 



ps: hier je n'avais pas tout ça dans le retour de "lsmod"
pour avoir un fonctionnement en pur nftables" , je suppose qu il y a des modules a désactiver et des paquets a supprimer . (debian en met plutôt "plus" que "moins" pour rester compatible et contenter tout le monde )

Dernière modification par robert2a (05-08-2019 13:07:17)

Hors ligne

#24 05-08-2019 13:14:40

enicar
Membre
Lieu : ailleurs
Distrib. : sid
Noyau : 5.8.7
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur une passerelle

robert2a a écrit :

pour avoir un fonctionnement en pur nftables" , je suppose qu il y a des modules a désactiver et des paquets a supprimer . (debian en met plutôt "plus" que "moins" pour rester compatible et contenter tout le monde )


Chez, moi j'ai viré le paquet iptables, et comme je compile mes noyaux, j'ai presque
viré le support de x_tables dans le noyau. « Presque » car je ne suis pas arrivé à le virer
complètement. Je n'ai pas trouvé ce qui bloquait la suppression. Il faudra que je m'y penche
à nouveau.

Hors ligne

#25 05-08-2019 13:29:36

robert2a
Membre
Distrib. : debian 11
(G)UI : Mate
Inscription : 15-11-2014

Re : [resolu]Migration de iptables a nftables sur une passerelle

pour le #22 c'est corrigé
ça donne ceci


#!/usr/sbin/nft -f

flush ruleset

table ip filter {
        chain input {
                 type filter hook input priority 0; policy drop;
        iif lo accept
        ct state invalid  limit rate 4/second burst 5 packets  log prefix "INVALID_INPUT " drop
        ct state established,related accept
        icmp type { destination-unreachable,time-exceeded, parameter-problem } accept
        # le reste pour le filtrage de la chaîne input ici
        }

        chain forward {
                type filter hook forward priority filter; policy drop;
       ct state invalid limit rate 4/second log prefix "INVALID_INPUT " drop
       ct state established,related accept
       icmp type { destination-unreachable, time-exceeded, parameter-problem } accept
       }

        chain output {
                type filter hook output priority 0; policy accept;
        }
}
 



le "flush ruleset" je sais pas a quoi il est utile (flush c'est pour supprimer il me semble) ,

Hors ligne

Pied de page des forums