Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#51 16-02-2019 22:20:50

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian stretch 9.8
Noyau : Linux 4.9.0-8-amd64
(G)UI : Gnome 3.22
Inscription : 29-04-2015

Re : Debian 10 : on en sait plus.

Hello,
Je viens de tomber sur cette page : https://wiki.debian.org/nftables qui dit que nftables devrait remplacer iptables dans buster.

Est-ce toujours d'actualité ?

Si oui cela va être une sacré révolution non ?

Quelles sont les répercussions sur la sécurité de nos systèmes lors de la mise à jour de stretch vers buster ?

Chaque siècle fera son œuvre, aujourd’hui civique, demain humaine. Aujourd’hui la question du droit, demain la question du salaire. Salaire et droit, au fond c’est le même mot. L’homme ne vit pas pour n’être point payé ; Dieu en donnant la vie contracte une dette ; le droit, c’est le salaire inné ; le salaire, c’est le droit acquis.
             Quatrevingt-treize
             Victor Hugo.

Hors ligne

#52 17-02-2019 02:22:07

robert2a
Membre
Lieu : France
Distrib. : debian 10
Noyau : 4.19
(G)UI : Gnome
Inscription : 15-11-2014

Re : Debian 10 : on en sait plus.

Bonjour

a priori sur une migration pas de différences


apt-cache policy iptables
 



iptables:
  Installé : 1.8.2-3
  Candidat : 1.8.2-3
 Table de version :
 *** 1.8.2-3 500
        500 https://deb.debian.org/debian buster/main amd64 Packages
        100 /var/lib/dpkg/status
 



apt-cache policy nftables
 



nftables:
  Installé : (aucun)
  Candidat : 0.9.0-2
 Table de version :
     0.9.0-2 500
        500 https://deb.debian.org/debian buster/main amd64 Packages
 



a priori sur une migration stretch => buster pas mit en place , (une migration des tables a faire)
sur une installation neuve pas testé

a vérifier quand buster passera stable

si on traduit ton lien

NOTE: Debian Buster utilisera le framework nftables par défaut.

La version actuelle est v0.9. Les paquets Debian sont à jour dans les versions unstable et stable (Stretch),
ils sont basés sur v0.7. L’écurie précédente (Jessie) l’avait dans les backports.

À partir de Debian Buster, nf_tables est le moteur par défaut lors de l’utilisation d’iptables,
au moyen de la couche iptables-nft (c’est-à-dire, en utilisant la syntaxe iptables avec le sous-système de noyau nf_tables).
Cela concerne également ip6tables, arptables et ebtables.



sur buster je suis allez voir le descriptif d' iptables

Le cadriciel iptables/xtables a été remplacé par nftables. La migration
doit être envisagée.

Iptables est le programme en ligne de commande pour l'espace utilisateur,
utilisé pour configurer l'ensemble des règles de filtrage de paquets et
de NAT sous Linux. Il est destiné aux administrateurs système et réseau.

Ce paquet fournit plusieurs utilitaires différents, dont les plus
importants sont :
iptables, iptables-save, iptables-restore (version basée sur nft)
iptables, iptables-save, iptables-restore (version traditionnelle)
ip6tables, ip6tables-save, ip6tables-restore (version basée sur nft)
ip6tables, ip6tables-save, ip6tables-restore (version traditionnelle)
arptables, arptables-save, arptables-restore (version basée sur nft)
ebtables, ebtables-save, ebtables-restore (version basée sur nft)



si je comprend bien ceci  => La migration doit être envisagée.
pour l'instant je suis en version traditionnelle
pour la migration voir plus bas

la description de nfstables

This software provides an in-kernel packet classification framework that is
based on a network-specific Virtual Machine (VM) and the nft userspace
command line tool. The nftables framework reuses the existing Netfilter
subsystems such as the existing hook infrastructure, the connection tracking
system, NAT, userspace queueing and logging subsystem.

nftables replaces the old popular iptables, ip6tables, arptables and ebtables.

Netfilter software and nftables in particular are used in applications such
as Internet connection sharing, firewalls, IP accounting, transparent
proxying, advanced routing and traffic control.

A Linux kernel >= 3.13 is required. However, >= 4.14 is recommended.



quelques lignes traduites  roll


Pas une exigence, mais un conseil:
ne mélangez pas les règles nftables et iptables à moins de savoir ce que vous faites.

Oui. La construction de nouveaux pare-feu sur iptables est déconseillée.
Oui, nftables est le remplacement d’iptables. Certains outils sont en place pour faciliter cette tâche.

Le framework précédent (iptables) a plusieurs problèmes difficiles à résoudre,
concernant l’évolutivité, les performances, la maintenance du code, etc.

Oui, mais le nftables est meilleur
 



pour migrer =>  https://wiki.nftables.org/wiki-nftables … o_nftables

je pense que cela ne va rien changer
pour les utilisateurs de iptables  ça va continuer
pour les utilisateurs de nftables ça demande une migration
pour une installation neuve les deux sont disponibles , au choix .
nota: si j'ai bien tout compris  roll

Dernière modification par robert2a (17-02-2019 07:39:36)

Hors ligne

Pied de page des forums