Archlinux.fr [Forums]

Forum d'entraide ! Posez vos questions ici
https://forums.archlinux.fr/

[nftables] Règles Iptables vers Nftables

https://forums.archlinux.fr/viewtopic.php?t=15919

Page 1 sur 1

[nftables] Règles Iptables vers Nftables

Publié : mer. 24 sept. 2014, 13:39
par snoogy22
Bonjour à tous,

Iptables est remplacé par nftables :?

Est-ce que quelqu'un pourrai m'aider à appliquer ce script / règles pour nftables ?
J'ai essayé à l'aide du wiki, mais je suis un peu ... voir même complètement perdu avec nftables :shock:

Code : Tout sélectionner

#!/bin/bash

# J'efface toutes les règles existantes dans iptables.
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
echo - Vidage : [OK]

# Je mets en place les regles par défaut (on refuse tout).
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion : [OK]

# J'autorise l'interface loopback à dialoguer avec elle-même.
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
echo - Autoriser loopback : [OK]

# Autorise les connexions avec internet uniquement si elles sont initialisées par
# les processus locaux
iptables -t filter -A OUTPUT -p all -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -p all -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
echo - Autorisation processus locaux : [OK]

# Suppression des règles IPv6
ip6tables -t filter -F
ip6tables -t filter -X
echo - Vidage IPv6 : [OK]

# Par defaut, toute les paquets de la table FILTER sont détruits
ip6tables -t filter -P INPUT DROP
ip6tables -t filter -P OUTPUT DROP
ip6tables -t filter -P FORWARD DROP
echo - Interdire connexion IPv6 : [OK]

# Log.
iptables -t filter -A INPUT -p all -j LOG --log-prefix=DefaultDrop
iptables -t filter -A OUTPUT -p all -j LOG --log-prefix=DefaultDrop
echo - Log : [OK]

# Sauvegarde des règles
iptables-save

exit 0
Merci d'avance.

Re: [nftables] Règles Iptables vers Nftables

Publié : mer. 24 sept. 2014, 19:35
par FoolEcho
snoogy22 a écrit :Iptables est remplacé par nftables :?
:shock: Pas encore, faut pas pousser. Rien ne t'oblige à faire ce changement déjà (d'autant qu'il n'y a justement pas des masses de documentation... et qu'il s'agit de sécurité quand même...) :P

(pas d'aide de ma part sur ce sujet dans l'immédiat donc, désolé...)

Re: [nftables] Règles Iptables vers Nftables

Publié : mer. 24 sept. 2014, 20:33
par snoogy22
Bonjour FoolEcho,

oui justement je m'étonne aussi du manque de documentation.

Donc nftables ne remplace pas iptables, mais sera ajouté en plus de iptables ?

Je suis resté au noyau 3.12 par crainte de ne plus avoir de règles pour netfilter :pastaper:

Re: [nftables] Règles Iptables vers Nftables

Publié : jeu. 25 sept. 2014, 11:51
par FoolEcho
snoogy22 a écrit :Donc nftables ne remplace pas iptables, mais sera ajouté en plus de iptables ?
Non, c'est un pare-feu au même titre qu'iptables et il a effectivement pour but de le remplacer à terme... mais c'est loin d'être fait.
snoogy22 a écrit :Je suis resté au noyau 3.12 par crainte de ne plus avoir de règles pour netfilter :pastaper:
Iptables fonctionne toujours avec le kernel 3.13, pas de problème (iptables étant dans core, à la différence de nftables qui est dans extra et vu la portée de la chose, il serait étonnant qu'il n'y ait pas une annonce le jour d'un remplacement effectif de l'un par l'autre).

Re: [nftables] Règles Iptables vers Nftables

Publié : jeu. 25 sept. 2014, 12:31
par snoogy22
Ok merci pour ces précisions, alors je vais passer à un noyau plus récent sans crainte :-)
Fuseau horaire sur UTC+02:00
Page 1 sur 1

Développé par phpBB® Forum Software © phpBB Limited

Traduction française officielle © Qiaeru