Différences

Ci-dessous, les différences entre deux révisions de la page.

--- pratique:informatique:parefeu:nftables [05/06/2025 08:10] – [Vérification et mise en place] Zatalyz
+++ pratique:informatique:parefeu:nftables [25/06/2025 20:40] (Version actuelle) – [Sur hyperviseur exposé sur internet] Zatalyz
@@ Ligne 446: / Ligne 446: @@
         type filter hook output priority 0; policy drop;
         # Autoriser le trafic de paquets "etablished" et associés, supprimer les paquets non valides
-        ct state established accept
+        ct state established,related accept
         # Autorise le loopback sortant
         oifname "lo" accept
@@ Ligne 455: / Ligne 455: @@
         tcp dport { http, https } accept
         udp dport domain accept
+        tcp dport domain accept
+        # Autoriser msmtp à envoyer ses mails
+        tcp dport { 25, 465, 587 } ct state new,established accept
+        # Autoriser NTP
+	udp dport { 53, 123 } ct state new,established accept
+        # Log de ce qui est bloqué
+        log prefix "[NFT OUTPUT DROP] " flags all drop
     }
@@ Ligne 506: / Ligne 513: @@
 Pour recharger le fichier de configuration :
   nft -f /etc/nftables.conf
+Admirer en temps réel les bans ? Pour admirer le contenu d'un set (par exemple tempblock_v4), c'est
+  sudo watch -n 1 'nft list set inet firewall tempblock_v4'
+Et pour les logs, si on a activé les [[pratique:informatique:systemd_error#avoir_des_vrais_journaux_de_log|logs lisibles]] (sinon, débrouillez vous avec journalctl) :
+  tail -f /var/log/kern.log
 ===== Sources =====