Différences

Ci-dessous, les différences entre deux révisions de la page.

--- pratique:informatique:parefeu:nftables [05/06/2025 08:39] – [Vérification et mise en place] Zatalyz
+++ pratique:informatique:parefeu:nftables [14/06/2026 13:43] (Version actuelle) – [Vérification et mise en place] Zatalyz
@@ Ligne 446: / Ligne 446: @@
         type filter hook output priority 0; policy drop;
         # Autoriser le trafic de paquets "etablished" et associés, supprimer les paquets non valides
-        ct state established accept
+        ct state established,related accept
         # Autorise le loopback sortant
         oifname "lo" accept
@@ Ligne 455: / Ligne 455: @@
         tcp dport { http, https } accept
         udp dport domain accept
+        tcp dport domain accept
+        # Autoriser msmtp à envoyer ses mails
+        tcp dport { 25, 465, 587 } ct state new,established accept
+        # Autoriser NTP
+	udp dport { 53, 123 } ct state new,established accept
+        # Log de ce qui est bloqué
+        log prefix "[NFT OUTPUT DROP] " flags all drop
     }
@@ Ligne 496: / Ligne 503: @@
   * -f : indique le fichier à lire (ici l'emplacement par défaut sur debian).
-Une fois qu'on a configuré son fichier :
+Avant de redémarrer, une astuce utile de glorf : mettre ce bout dans son ''.bashrc'' :
-  sudo systemctl enable nftables.service
+<code>function test_nftables {
-  sudo service nftables start
+    systemctl restart nftables || systemctl status nftables
+    echo "post"
+    read -p "press any key, or nft will be flushed" -t 30
+    if [ $? -eq 0 ]; then
+        echo -e "\nKeeping nft ruleset"
+    else
+        echo -e "\nRemoving nft ruleset"
+        nft flush ruleset
+    fi
+}</code>
+Puis l'appeler avec la commande ''test_nftables'' (potentiellement en étant déjà root. C'est l'équivalent de ''sudo systemctl enable nftables.service && sudo service nftables start'' mais sans risque de s'autobannir en cas de souci.