Vous n'êtes pas identifié(e).
ps: pour le pare-feu partir de zéro avec nftables si j' arrive a comprendre
mais déjà passer a nftables sans casser le nat
Dernière modification par anonyme (13-08-2019 00:29:09)
lancer nftables
vérifier le status
redémarrer la machine voir si le service est toujours bien actif
le man est bien chargé
j'ai trouvé cette commande
"filter" est actif et accepte tout
jusque la c'est simple , plus que iptables , la suite je sais pas
le service est actif mais un souci de journal
ce lien utile je pense => https://wiki.nftables.org/wiki-nftables … /Main_Page
Dernière modification par anonyme (03-08-2019 22:36:26)
mais je ne suis pas parfaitement sûr de la syntaxe pour la
ligne « oif enp6s0f0 masquerade », donc je l'ai mise en commentaire.
Par contre « masquerade » seul fonctionnera.
Tu peux essayer de faire traduire la règle iptables pour la masquerade
vers nftables en utilisant iptables-translate.
Je pense que ça t'intéressera : https://wiki.nftables.org/wiki-nftables … o_nftables
Dernière modification par enicar (04-08-2019 10:53:45)
Hors ligne
Hors ligne
garder je suppose dans /etc/sysctl.conf la ligne active (sans le "#") pour que le noyau autorise le passage des paquets
installer nftables , supprimer le paquet iptables , désactiver le module "iptables"
installer le service
redémarrer la machine ou activer le service ( a vérifier)
créer les règles pour le nat
redémarrer la machine
par contre je bloque sur l'équivalent de ceci avec nftables
ma carte coté net est "enp6s0f0" , et "enp6s0f1" coté sous réseau local
la commande sur le lien de enicar
ps: le nom de la carte réseau pas précisé sur cette commande
nota : pas de filtrage pour l'instant , juste mettre en place le nat
et il n'est pas actif
en utilisant la commande de enicar
voila le résultat
le top se truc
plus qu'a créer les règles "filter" , sur une passerelle c'est casse pied , beaucoup de choses a gérer , plus simple sur un ordinateur de bureau
Dernière modification par anonyme (04-08-2019 15:28:20)
plus qu'a créer les règles "filter" , sur une passerelle c'est casse pied
Si tu avais déjà des règles pour la table filter dans iptables, tu devrais les récupérer
aussi.
par contre je bloque sur l'équivalent de ceci avec nftables
-A POSTROUTING -o enp6s0f0 -j MASQUERADE
Tu pourrais essayé :
Mais je préfère tout mettre dans un fichier et regrouper les commandes
comme je l'ai fait dans mon exemple post #3.
Dernière modification par enicar (04-08-2019 15:29:34)
Hors ligne
pour les règles je préfère partir de de zéro avec nftables , donc j'ai pas repris l'existant
pas mal de choses a filtrer avec les clients et le serveur
pour le masquerade j'ai ceci
chain POSTROUTING {
type nat hook postrouting priority 100; policy accept;
oifname "enp6s0f0" counter packets 43877 bytes 3234481 masquerade
pour les règles je préfère partir de de zéro avec nftables , donc j'ai pas repris l'existant
pas mal de choses a filtrer avec les clients et le serveur
Remarque tu peux supprimer :
dans la ligne oifname. Tu peux aussi supprimer « counter » si
c'est une infomration dont tu ne te sers pas.
Quant à repartir de zéro, c'est une attitude saine. Tu voudras probablement
utilisé le suivis de connexion avec par exemple :
Je montre en passant comment écrire une règle qui permet de garder une trace
dans les logs des paquets que l'on jette lorsque que le status est invalide
pour le suivi de connexion en une seule règle. Évidemment, il faut aussi
que tu crées les chaînes output et forward pour la table filter.
EDIT: J'avais oublié accept en fin de règle pour l'icmp, c'est ballot.
Dernière modification par enicar (05-08-2019 12:58:41)
Hors ligne
pour les "log" justement je comprend pas ceci
quelque chose est pas correct , il doit y avoir des traces dans le syslog ?
pour les "log" justement je comprend pas ceci
Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.
quelque chose est pas correct , il doit y avoir des traces dans le syslog ?
C'est peut-être que les journaux classiques dans /var/log/ ne sont
pas activés et seulement accesible via journalctl. Je ne sais pas
comment ça coopère avec le pare-feu cette histoire.
Hors ligne
Hors ligne
j'ai trouvé ceci => https://wiki.nftables.org/wiki-nftables … ng_traffic
La règle que j'ai donné avec log, fonctionne parfaitement chez moi, mais j'ai laissé
en place rsyslog. Je n'ai aucun message d'erreur ou d'avertissement.
Le fait d'utiliser la cible log devrait charger les modules :
Dernière modification par enicar (04-08-2019 16:33:43)
Hors ligne
par contre nf_log ce sont des commandes ?
pas du tout, ce que j'ai listé post #14, ce sont des modules du noyau que l'on peut
voir avec
Hors ligne
ps: bien faire une sauvegarde de la configuration en iptables avant de passer en nftables , aucun soucis pour revenir en arrière si besoin.
En effet, sachant que la commande iptables de buster utilise en réalité nftables à moins d'utiliser
iptables-legacy. Et même si tu veux utiliser x_tables au niveau du noyau au lieu de nf_tables
il n'y a pas de soucis. Le seul truc c'est qu'il ne faut pas utiliser les deux systèmes (x_tables configuré
avec iptables-legacy, et nf_tables configuré avec nft) en même temps.
Hors ligne
ps: tant que je redémarre pas la machine l'erreur n'apparaît plus
du wiki debian j'ai fais ceci qui ne change rien
j'ai recommencé du début , remit le paquet "iptables" , supprimé puis recréé le service "nftables.service"
testé un "drop" sur la chaine "input" , firefox n'a plus le net , ce qui est normal
a part d'être sur d'utiliser "nftables.conf" comme tables , pour le reste je suis sur de rien
par exemple ce que tu affirme
ps: je suis en testing (depuis la mise en service de la machine de bureau) , le serveur est en buster , ce que je remarque une testing n'installe pas le paquet nftables , un dist-upgrade de stretch vers buster installe le paquet nftables.
si je laisse la machine allumé (après un restart du service)
ps: pas d'erreur de log (en service depuis 17mn)
je vais commencer a créer mes règles pour "input" sur cette machine
remarque:
pour ceci sur le net je trouve des pistes mais pas pour "nftables" , l'erreur est connu
par exemple ce que tu affirme
enicar a écrit :
sachant que la commande iptables de buster utilise en réalité nftables à moins d'utiliser iptables-legacy.
ps: je suis en testing (depuis la mise en service de la machine de bureau) , le serveur est en buster , ce que je remarque une testing n'installe pas le paquet nftables , un dist-upgrade de stretch vers buster installe le paquet nftables.
Il ne faut pas tout confondre. Il y a plusieurs choses que j'ai appelé
nftables. Le système dans le noyau s'appelle nf_tables. Le service
systemd s'appelle nftables.service.
De plus si tu configures ton pare-feu avec la commande iptables-nft, cela
utilisera le système nf_tables au niveau du noyau, mais ça n'a rien
à voir avec nftables.service ou la commande nft (du paquet nftables qui
n'a pas besoin d'être installé dans ce cas).
Si tu configures ton pare-feu avec iptables-legacy, le système
x_tables du noyau sera utilisé.
Donc en clair, si tu utilises iptables pour configurer le pare-feu
tu peux virer le paquet nftables ou au moins désactiver « nftables.service ».
En ce qui concerne testing, je ne sais pas trop. J'utilise sid, et au moment
où la commande iptables est devenue iptables-nft, j'ai installé le paquet
nftables pour tout configuré avec « nftables » car il y avait des règles
de mon pare-feu avec iptables qui n'étaient pas traduisible en nftables.
C'est plus clair ?
Hors ligne
c'est ceci qui me permet d'avoir le net (tout ce qui est demande en sortie , la réponse sera accepté )
ps: mais pour le log toujours l'erreur
ma table au départ était une "table net filter" .
ce qui me perturbe c'est ce mélange iptables , legacy et nftables.
j'ai besoin d' assimiler les bases , déjà avec iptables pas terrible . (utilisation de choses sur le net , pas comprendre ce que l'on fait c'est pas top).
merci pour le coup de main
ce qui me perturbe c'est ce mélange iptables , legacy et nftables.
Ben, c'est pour ça que j'ai tout basculé en nftables pur. Je n'aimais pas trop
le fait que iptables configure nf_tables au lieu de x_tables. J'aurais aussi pu
utiliser iptables-legacy, mais ça faisait plusieurs années que je me disais qu'il
fallait apprendre à me servir de nftables.
Hors ligne
Pour ce qui est du problème avec les logs, je ne sais vraiment pas
ce qui se passe.
Edit : J'avais oublié de mettre accept pour les règles de l'icmp dans le
post #9 ce qui est corrigé, à présent.
Dernière modification par enicar (05-08-2019 13:19:03)
Hors ligne
en autre
et
ps: hier je n'avais pas tout ça dans le retour de "lsmod"
pour avoir un fonctionnement en pur nftables" , je suppose qu il y a des modules a désactiver et des paquets a supprimer . (debian en met plutôt "plus" que "moins" pour rester compatible et contenter tout le monde )
Dernière modification par anonyme (05-08-2019 13:07:17)
pour avoir un fonctionnement en pur nftables" , je suppose qu il y a des modules a désactiver et des paquets a supprimer . (debian en met plutôt "plus" que "moins" pour rester compatible et contenter tout le monde )
Chez, moi j'ai viré le paquet iptables, et comme je compile mes noyaux, j'ai presque
viré le support de x_tables dans le noyau. « Presque » car je ne suis pas arrivé à le virer
complètement. Je n'ai pas trouvé ce qui bloquait la suppression. Il faudra que je m'y penche
à nouveau.
Hors ligne
le "flush ruleset" je sais pas a quoi il est utile (flush c'est pour supprimer il me semble) ,