[nftables] Règles Iptables vers Nftables

[snoogy22]

Bonjour à tous,

Iptables est remplacé par nftables

Est-ce que quelqu'un pourrai m'aider à appliquer ce script / règles pour nftables ?
J'ai essayé à l'aide du wiki, mais je suis un peu ... voir même complètement perdu avec nftables

Code : Tout sélectionner

#!/bin/bash

# J'efface toutes les règles existantes dans iptables.
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
echo - Vidage : [OK]

# Je mets en place les regles par défaut (on refuse tout).
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion : [OK]

# J'autorise l'interface loopback à dialoguer avec elle-même.
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autorise les connexions avec internet uniquement si elles sont initialisées par
# les processus locaux
iptables -t filter -A OUTPUT -p all -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p all -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
echo - Autorisation processus locaux : [OK]

# Suppression des règles IPv6
ip6tables -t filter -F
ip6tables -t filter -X
echo - Vidage IPv6 : [OK]

# Par defaut, toute les paquets de la table FILTER sont détruits
ip6tables -t filter -P INPUT DROP
ip6tables -t filter -P OUTPUT DROP
ip6tables -t filter -P FORWARD DROP
echo - Interdire connexion IPv6 : [OK]

# Log.
iptables -t filter -A INPUT -p all -j LOG --log-prefix=DefaultDrop
iptables -t filter -A OUTPUT -p all -j LOG --log-prefix=DefaultDrop
echo - Log : [OK]

# Sauvegarde des règles
iptables-save

exit 0

Merci d'avance.

[FoolEcho]

Iptables est remplacé par nftables

Pas encore, faut pas pousser. Rien ne t'oblige à faire ce changement déjà (d'autant qu'il n'y a justement pas des masses de documentation... et qu'il s'agit de sécurité quand même...)

(pas d'aide de ma part sur ce sujet dans l'immédiat donc, désolé...)

[snoogy22]

Bonjour FoolEcho,

oui justement je m'étonne aussi du manque de documentation.

Donc nftables ne remplace pas iptables, mais sera ajouté en plus de iptables ?

Je suis resté au noyau 3.12 par crainte de ne plus avoir de règles pour netfilter

[FoolEcho]

Donc nftables ne remplace pas iptables, mais sera ajouté en plus de iptables ?

Non, c'est un pare-feu au même titre qu'iptables et il a effectivement pour but de le remplacer à terme... mais c'est loin d'être fait.

Je suis resté au noyau 3.12 par crainte de ne plus avoir de règles pour netfilter

Iptables fonctionne toujours avec le kernel 3.13, pas de problème (iptables étant dans core, à la différence de nftables qui est dans extra et vu la portée de la chose, il serait étonnant qu'il n'y ait pas une annonce le jour d'un remplacement effectif de l'un par l'autre).

[snoogy22]

Ok merci pour ces précisions, alors je vais passer à un noyau plus récent sans crainte