Vous n'êtes pas identifié(e).
est utilisable en tant que fichier de règles pour nft. Plus besoin de truc
comme iptables-save et iptables-restore.
Du coup on peut créer son pare-feu en interactif. Puis faire :
Après un reboot on recharche les règles avec :
Et chose extraordinaire, c'est ce qui est fait dans debian le fichier est :
Le chargement est effectué par le service systemd :
Il faut aussi noter que la commande iptables installé par défaut
dans buster utilise en réalité nft. Ce qui fait que certaines choses
ne fonctionnent plus. Notamment une règle comme :
ne sera pas accepté. Je ne sais pas comment on peut le faire avec nftables.
Une solution dans ce cas est d'utiliser la commande iptables-legacy qui
configure x_tables au niveau du noyau. Notez, qu'il vaut mieux ne pas
mélanger les deux systèmes de filtre de paquets. Et tant qu'à faire
autant utiliser soit nft, soit iptables, soit iptables-legacy, mais aucun
mélange sous peine de ne plus s'y retrouver.
Un autre chose importante. Il est existe une commande qui permet
de faire la translation des règles iptables vers nft quand c'est possible :
iptables-translate (et ip6tables-translate pour ipv6).
Et enfin le wiki de nftables qui est très bien fait.
Dernière modification par enicar (29-07-2019 09:42:40)
Hors ligne
Il faut cliquer sur le lien pour savoir qu’est-ce que c’est.
Ce que j'avais fait… Mais je ne voyais pas le rapport avec le sujet, à savoir
« Mise en place d'un pare-feu ».
Hors ligne
Il faut cliquer sur le lien pour savoir qu’est-ce que c’est.
Très mauvaise pratique, digne des spammeurs et autres pièges à clics (pour rester correct).
Un lien devrait toujours être accompagné d'une description succinte permettant au lecteur de décider si ça l'intéresse ou pas. Pour ma part, je ne clique jamais sur un lien "sec".
Petit extrait du site
Très bien. Il suffisait d'adjoindre cet extrait au lien.
Il vaut mieux montrer que raconter.
Hors ligne