Debian-facile

enicar

Membre

Lieu : pas ici

Distrib. : sid

Noyau : Linux 6.5.3

(G)UI : openbox

Inscription : 26-08-2010

Re : Mise en place d'un pare feu

Bon en tous cas, j'utilise nftables pour mes pare-feux. La syntaxe de la
commande nft est très différente de celle d'iptables. Mais ce n'est pas le plus
difficile pour faire un filtre de paquets. Le plus difficile est comprendre
comment fonctionne tcp/ip.
Ma vision très parcellaire de ce fonctionnement me permet quand même de faire
des choses qui fonctionnent.

Je voulais quand même donner mon avis sur nft par rapport à iptables.
D'abord nft permet de configurer la partie netfilter du noyau qui s'appelle
nf_tables, alors qu'iptables configurait Xtables. Il y a pas mal de choses qui
ont changés avec nf_tables, voir ici les principales différences.

De mon point de vue de simple utilisateur qui n'a pas besoin de faire des
choses complexes, ce qui a surtout changé c'est la syntaxe de la commande nft
par rapport à iptables. La syntaxe de nft est plus claire et simple. Aussi, il
n'y a pas besoin de plusieurs commandes pour configurer ipv4 et ipv6. C'est
aussi nft qui sert à configurer le filtre arp (géré avant grâce à arptables (je
ne l'ai jamais utilisé)) et le filtre pour les ponts (géré précédemment avec
ebtables (jamais utilisé non plus)). Donc il n'y a plus qu'une seule commande à
la place de quatre.
Ce que je trouve bien mieux c'est que la sortie de la commande

nft list ruleset
 

est utilisable en tant que fichier de règles pour nft. Plus besoin de truc
comme iptables-save et iptables-restore.
Du coup on peut créer son pare-feu en interactif. Puis faire :

nft list ruleset >nftables.conf
 

Après un reboot on recharche les règles avec :

nft -f nftables.conf
 

Et chose extraordinaire, c'est ce qui est fait dans debian le fichier est :

/etc/nftables.conf
 

Le chargement est effectué par le service systemd :

nftables.service
 

Il faut aussi noter que la commande iptables installé par défaut
dans buster utilise en réalité nft. Ce qui fait que certaines choses
ne fonctionnent plus. Notamment une règle comme :

iptables -A INPUT -m pkttype --pkt-type broadcast -d 10.0.0.255/32 -j DROP
 

ne sera pas accepté. Je ne sais pas comment on peut le faire avec nftables.
Une solution dans ce cas est d'utiliser la commande iptables-legacy qui
configure x_tables au niveau du noyau. Notez, qu'il vaut mieux ne pas
mélanger les deux systèmes de filtre de paquets. Et tant qu'à faire
autant utiliser  soit nft, soit iptables, soit iptables-legacy, mais aucun
mélange sous peine de ne plus s'y retrouver. 

Un autre chose importante. Il est existe une commande qui permet
de faire la translation des règles iptables vers nft quand c'est possible :
iptables-translate (et ip6tables-translate pour ipv6).

Et enfin le wiki de nftables qui est très bien fait.

Dernière modification par enicar (29-07-2019 09:42:40)

enicar

Membre

Lieu : pas ici

Distrib. : sid

Noyau : Linux 6.5.3

(G)UI : openbox

Inscription : 26-08-2010

Re : Mise en place d'un pare feu

Il faut cliquer sur le lien pour savoir qu’est-ce que c’est.

Ce que j'avais fait… Mais je ne voyais pas le rapport avec le sujet, à savoir
« Mise en place d'un pare-feu ».

raleur

Membre

Inscription : 03-10-2014

Re : Mise en place d'un pare feu

Il faut cliquer sur le lien pour savoir qu’est-ce que c’est.

Très mauvaise pratique, digne des spammeurs et autres pièges à clics (pour rester correct).
Un lien devrait toujours être accompagné d'une description succinte permettant au lecteur de décider si ça l'intéresse ou pas. Pour ma part, je ne clique jamais sur un lien "sec".

Petit extrait du site

Très bien. Il suffisait d'adjoindre cet extrait au lien.

---

Il vaut mieux montrer que raconter.