Debian-facile

Palimp

Membre

Inscription : 03-08-2019

Migration d'iptables à nftables

Bonjour,
J'ai fait la mise à jour de mon serveur de Stretch à Buster. Comme il est annoncé que nftables va remplacer à terme iptables, et vu qu'au reboot mon iptable marchait à moitié, je me suis dit que c'était l'occasion de faire cette migration aussi.

J'ai trouvé comment traduire les règles iptables en règles nftables ( https://wiki.nftables.org/wiki-nftables … o_nftables ), mais la suite des opérations me questionne. Quelles étapes suivre pour faire ça bien ? Je n'arrive pas à trouver de pas à pas sur la question.

Dans ce que j'ai trouvé :
- installer le paquet nftables (il n'est pas automatiquement installé lors d'une mise à jour de distribution)
- copier la configuration

cp /usr/share/doc/nftables/examples/workstation.nft /etc/nftables.conf

- activer nftables et vérifier qu'il tourne

systemctl enable nftables.service
systemctl start nftables.service
systemctl status nftables.service

- facultatif : remettre toutes les règles. Je n'ai pas trop bidouillé dans un premier temps, le fichier de conf de base semblait suffire pour accéder au serveur. Je n'ai pas trop compris non plus quel mécanisme sauvait les règles d'un reboot à l'autre.
- purger iptables, parce que je n'ai trouvé aucune façon de le désactiver de façon à ce qu'il ne soit pas en conflit avec nftables...
- redémarrer.

Et en faisant ça... Mon serveur n'est pas content j'ai gagné le droit de le relancer en mode de maintenance... Je vais réinstaller iptables et désactiver nftables pour le moment, mais j'aimerais bien trouver comment faire cette migration proprement.

Je ne suis pas d'un niveau expert, ma compréhension du réseau et d'iptable est très basique. Si vous voyez comment faire, n'hésitez pas à détailler même si ça semble "évident", car il me semble que j'ai justement du louper une de ces évidences

enicar

Membre

Lieu : pas ici

Distrib. : sid

Noyau : Linux 6.5.3

(G)UI : openbox

Inscription : 26-08-2010

Re : Migration d'iptables à nftables

Je vais réinstaller iptables et désactiver nftables pour le moment, mais j'aimerais bien trouver comment faire cette migration proprement.

Tu peux facilement récupérer l'équivallent de la plupart des
règles pour nftables de ton pare-feu configurer avec iptables.
En effet, la commande iptables dans buster n'est pas la commande
iptables originales (la commande originale s'appelle iptables-legacy).
Cette commande iptables fait une traduction automatique des
règles iptables vers les règles pour nftables. Ce qqui a pour conséquence
que l'on peut récupérer facilement les règles pour nftables.
Une fois le pare-feu configuré avec iptables, tu fais :

nft list ruleset >/etc/nftables.conf
 

Comme cela tu auras les règles pour nftables prêtes à l'emploi.
Ceci dit, toutes les règles iptables ne peuvent être traduites.
IL faudra regarder au cas par cas.

Important : cela suppose que tu n'utilises pas la commande
iptables-legacy pour configurer ton pare-feu. Si c'est le cas
la méthode que j'ai montré précédemment ne fonctionnera pas, car
ça sera l'interface x_tables dans le noyau qui sera utilisé et non nftables.

En tous cas il faudrait connaître précisément quelles sont les règles de ton
pare-feu pour pouvoir te dépanner ou savoir exacxtement quelles sont tes
besoins pour ce pare-feu.

raleur

Membre

Inscription : 03-10-2014

Re : Migration d'iptables à nftables

Et en faisant ça... Mon serveur n'est pas content

Si tu appliques une configuration de filtrage prévue pour une station (du genre bloquer toutes les connexions entrantes et autoriser toutes les connexions sortantes) à un serveur, pas étonnant qu'il ne soit pas content...

---

Il vaut mieux montrer que raconter.