7 novembre 2024

Nftables, la série de tutos

Tutoriel révisé en décembre 2022 / Debian 11

 

Dans cette série d’articles nous allons étudier Nftables, le successeur d’Iptables.

A travers des exemples, nous allons couvrir différents concepts et profiterons alors pour faire un peu de réseau !

 

I – Introduction

Avant tout, petit rappel :

Au sein du noyau Linux, ce qui gère les paquets réseau, c’est Netfilter. Et il peut faire plein, plein, plein de trucs : modification de paquets, filtrage, j’en passe…. Firewall, routing, etc, bref du réseau comme les gens n’aiment pas (il parait….)

Depuis la nuit des temps (à peu de chose près), pour travailler sur Netfilter, on avait l’habitude d’utiliser Iptables qu’on connait bien.
Il faut savoir également qu’Iptables fait parti d’un framework complet: et oui, Iptables n’est pas le seul logiciel du framework, il existe ip6tables, arptables, etc…

Mais Iptables a des défauts (entre autres, son grand âge), défauts que Nftables a bien l’intention de combler.

Iptables, sur notre fidèle Debian 11, on peut encore tout à fait s’en servir en sortie d’usine.

Ou du moins en avoir l’impression…. Car ce qu’on ignore c’est qu’en fait, Nftables agit déjà, tapi dans l’ombre…

 

II – Présentation de Nftables

Nftables est un nouveau framework qui regroupe les anciens outils en une unique commande. La syntaxe change, y’a de nouvelles possibilités, on va regarder tout cela petit à petit.

Comme je vous le disais en préambule, Iptables est toujours la mais si vous faites :

# iptables -V
 iptables v1.8.7 (nf_tables)

Il s’agit en fait un wrapper vers nftables.

Par contre, si on veut utiliser l’outil nftables et sa nouvelle syntaxe, on doit installer au préalable :

# apt install nftables

Et la, on peut faire :

# nft list ruleset

et constater que toutes nos anciennes règles sont en fait déjà traduites en syntaxe Nftables.

Nous, ce qu’on va faire, c’est qu’on va tout recommencer en partant d’une base neuve, en reprenant la nouvelle syntaxe et en adoptant les nouveautés.

III – Sommaire

I – Un peu de théorie

II – Manipulation des tables, chaines et règles

III – Firewall et Nat basique

IV – Mise en œuvre dans le cadre d’un routeur

V – Optimisation

 

3 réflexions sur « Nftables, la série de tutos »

    1. Bonjour,
      Heu, je n’ai pas ce soucis…
      Avez vous testé sur un autre browser, un autre terminal ?

      La comme ça, ça ressemble à une cochonnerie que j’avais eu sur smartphone qui me faisait ce genre de truc pour différents sites et ce, de manière assez aléatoire…

      1. Bonjour,

        Pareil que noname, sauf que j’ai eu une redirection vers un site de rencontre très… osé on va dire.
        C’était sur cette même page (https://blog.debugo.fr/nftables-serie-tutos/) via un clique dans la recherche StartPage alors que je cherchais des explications sur nftables. Ça apparaissait à chaque fois que je cliquais sur lien.

        Si j’allais sur la page d’accueil (https://blog.debugo.fr), je n’avais pas de redirection. Quand j’allais à nouveau sur la page, j’avais encore la redirection. Finalement, c’est parti quand j’ai cliqué sur le permalien d’un commentaire (https://blog.debugo.fr/nftables-serie-tutos/#comment-58053) qui se trouvait dans la section « commentaires récents » et maintenant, je peux y aller/repartir sans avoir la redirection.

        Navigateur : Firefox 105.0.2 (64 bits) en mode privé.
        Je ne saurais dire si ça venait de mon côté (genre mon FAI qui a fait une redirection DNS foireuse) ou bien de votre côté/hébergeur.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *