Alinea

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
pratique:informatique:parefeu:nftables [02/06/2025 16:22] – [Sur hyperviseur exposé sur internet] Zatalyzpratique:informatique:parefeu:nftables [14/06/2026 13:43] (Version actuelle) – [Vérification et mise en place] Zatalyz
Ligne 446: Ligne 446:
         type filter hook output priority 0; policy drop;         type filter hook output priority 0; policy drop;
         # Autoriser le trafic de paquets "etablished" et associés, supprimer les paquets non valides         # Autoriser le trafic de paquets "etablished" et associés, supprimer les paquets non valides
-        ct state established accept+        ct state established,related accept
         # Autorise le loopback sortant         # Autorise le loopback sortant
         oifname "lo" accept         oifname "lo" accept
Ligne 455: Ligne 455:
         tcp dport { http, https } accept         tcp dport { http, https } accept
         udp dport domain accept         udp dport domain accept
-        +        tcp dport domain accept 
 +        # Autoriser msmtp à envoyer ses mails 
 +        tcp dport { 25, 465, 587 } ct state new,established accept 
 +        # Autoriser NTP 
 + udp dport { 53, 123 } ct state new,established accept 
 +        # Log de ce qui est bloqué 
 +        log prefix "[NFT OUTPUT DROP] " flags all drop 
 +       
     }     }
  
Ligne 496: Ligne 503:
   * -f : indique le fichier à lire (ici l'emplacement par défaut sur debian).    * -f : indique le fichier à lire (ici l'emplacement par défaut sur debian). 
  
-Une fois qu'on a configuré son fichier +Avant de redémarrer, une astuce utile de glorf : mettre ce bout dans son ''.bashrc'' :  
-  sudo systemctl enable nftables.service +<code>function test_nftables { 
-  sudo service nftables start+    systemctl restart nftables || systemctl status nftables 
 +    echo "post" 
 +    read -p "press any key, or nft will be flushed" -t 30 
 +    if [ $? -eq 0 ]; then 
 +        echo -e "\nKeeping nft ruleset" 
 +    else 
 +        echo -e "\nRemoving nft ruleset" 
 +        nft flush ruleset 
 +    fi 
 +}</code> 
 + 
 +Puis l'appeler avec la commande ''test_nftables'' (potentiellement en étant déjà root. C'est l'équivalent de ''sudo systemctl enable nftables.service && sudo service nftables start'' mais sans risque de s'autobannir en cas de souci.
  
  
Ligne 504: Ligne 522:
   sudo nft list ruleset   sudo nft list ruleset
  
 +Pour recharger le fichier de configuration : 
 +  nft -f /etc/nftables.conf
 +
 +Admirer en temps réel les bans ? Pour admirer le contenu d'un set (par exemple tempblock_v4), c'est 
 +  sudo watch -n 1 'nft list set inet firewall tempblock_v4'
 +
 +Et pour les logs, si on a activé les [[pratique:informatique:systemd_error#avoir_des_vrais_journaux_de_log|logs lisibles]] (sinon, débrouillez vous avec journalctl) :
 +  tail -f /var/log/kern.log 
 ===== Sources ===== ===== Sources =====
  
CC Attribution-Noncommercial-Share Alike 4.0 International Driven by DokuWiki 🏳️‍🌈 Symboles inclusifs et politiques
pratique/informatique/parefeu/nftables.1748874161.txt.gz · Dernière modification : 02/06/2025 16:22 de Zatalyz