L'internet rapide et permanent

Outils pour utilisateurs

Outils du site

Vous êtes ici : L'internet rapide et permanent » Netfilter, Iptables, Nftables » Nftables

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
130netfilter:30-nftables [le 19/06/2025 à 14:45] – [Précisions utiles] prof130netfilter:30-nftables [le 04/10/2025 à 16:00] (Version actuelle) – [Nftables] prof
Ligne 1: Ligne 1:
 ====== Nftables ====== ====== Nftables ======
  
-Le couple Netfilter/Iptables dont le projet fut initié par Paul "Rusty" Russell au tout début du siècle. Si Netfilter reste d'actualité en évoluant au fil du temps, Iptables, de l'aveu même de son initiateur en était arrivé à un point où toute évolution devenait problématique, le code devenant difficile à maintenir et les commandes trop nombreuses (iptables, ip6tables, ebtables, arptables...).+Le couple Netfilter/Iptables dont le projet fut initié par Paul "Rusty" Russell au tout début de ce siècle. Si Netfilter reste d'actualité en évoluant au fil du temps, Iptables, de l'aveu même de son initiateur en était arrivé à un point où toute évolution devenait problématique, le code devenant difficile à maintenir et les commandes trop nombreuses (iptables, ip6tables, ebtables, arptables...).
  
 Nftables, apparu depuis le kernel 3.13 en 2014,  reprend toutes les idées accumulées dans le projet iptables, en les organisant de façon plus cohérente, avec un code entièrement revu. Nftables, apparu depuis le kernel 3.13 en 2014,  reprend toutes les idées accumulées dans le projet iptables, en les organisant de façon plus cohérente, avec un code entièrement revu.
Ligne 309: Ligne 309:
 </pre></html> </pre></html>
 Le système a rajouté les chaînes INPUT et FORWARD qui restent vides dans notre cas (trop) simple. En effet, il a été omis d'autoriser les entrées et les sorties sur l'interface locale, aussi bien en IPv4 qu'en IPv6, ce qui pourrait perturber le fonctionnement de certains services utilisant un socket inet plutôt qu'un socket unix pour communiquer entre eux. Le système a rajouté les chaînes INPUT et FORWARD qui restent vides dans notre cas (trop) simple. En effet, il a été omis d'autoriser les entrées et les sorties sur l'interface locale, aussi bien en IPv4 qu'en IPv6, ce qui pourrait perturber le fonctionnement de certains services utilisant un socket inet plutôt qu'un socket unix pour communiquer entre eux.
-==== Franchir le Rubicon ==== 
-Il faut maintenant activer le service ''nftables'' et **ne plus jamais utiliser les outils iptables!** 
-  systemctl enable nftables.service 
-  systemctl start nftables.service 
-  apt purge iptables 
-En français: 
-  * activer le service nftables sur systemd, 
-  * démarrer ce service, 
-  * virer tout ce qu'avait installé le paquet Iptables. 
-Autrement-dit, si ça a foiré, il faudra tout reprendre à zéro, d'où l'intérêt d'y aller prudemment. 
-==== Précisions utiles ==== 
-Par curiosité, regardons ce que fait le service «nftables» de systemd. Le script se trouve dans ''/usr/lib/systemd/system/'': 
-<html><pre class="code"> 
-<b>cat /usr/lib/systemd/system/nftables.service </b> 
-[Unit] 
-Description=nftables 
-Documentation=man:nft(8) http://wiki.nftables.org 
-Wants=network-pre.target 
-Before=network-pre.target shutdown.target 
-Conflicts=shutdown.target 
-DefaultDependencies=no 
- 
-[Service] 
-Type=oneshot 
-RemainAfterExit=yes 
-StandardInput=null 
-ProtectSystem=full 
-ProtectHome=true 
-<span class="hly"><b>ExecStart=/usr/sbin/nft -f /etc/nftables.conf</b> 
-ExecReload=/usr/sbin/nft -f /etc/nftables.conf 
-<span class="bhlo">ExecStop=/usr/sbin/nft flush ruleset</span> 
- 
-[Install] 
-WantedBy=sysinit.target 
-</pre></html> 
- 
-  * au démarrage (//ou au re-démarrage//) le fichier ''/etc/nftables.conf'' sera chargé; 
-  * à l'arrêt, la configuration est simplement détruite, mais pas sauvée. 
-Il revient donc à l'administrateur de maintenir à jour ce fichier ''/etc/nftables.conf'' et cette opération peut s'avérer compliquée, suivant le contexte. 
- 
-Lors de l'installation de ''nftables'', un fichier ''/etc/nftables.conf'' est créé par défaut et contient ceci: 
-<html><pre class="code"> 
-<span class="bhly">#!/usr/sbin/nft -f</span> 
- 
-<span class="bhlo">flush ruleset</span> 
- 
-table inet filter { 
- chain input { 
- type filter hook input priority filter; 
- } 
- chain forward { 
- type filter hook forward priority filter; 
- } 
- chain output { 
- type filter hook output priority filter; 
- } 
-} 
-</pre></html> 
-** Ce fichier est déjà par lui-même un [[https://wiki.nftables.org/wiki-nftables/index.php/Scripting#File_formats|script exécutable]]** 
-Il commence par purger l'ensemble des règles puis crée une table «filter» pouvant regrouper des chaînes de filtres IPv4 et IPv6 (inet) avec les trois chaînes de base pour le filtrage. Autrement dit,  cd fichier de configuration ne fait que créer une structure de filtrage qui pour l'instant laisse tout passer. 
- 
-La directive ''flush ruleset'' assure qu'en cas de redémarrage du service «nftables» tout ceci ne sera pas dupliqué. 
- 
-Mais que va-t-il se passer si l'on ajoute à la volée quelques règles de filtrage ? Elles ne seront pas rapportées dans ce fichier de façon automatique et seront donc perdure sur un redémarrage du service. 
  
Nftables: Dernière modification le: 19/06/2025 à 14:45 par prof