L'internet rapide et permanent

Outils pour utilisateurs

Outils du site

Vous êtes ici : L'internet rapide et permanent » Netfilter, Iptables, Nftables » Commencer avec Nftables

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
130netfilter:50-commencer_avec_nftables [le 27/06/2025 à 14:38] prof130netfilter:50-commencer_avec_nftables [le 28/06/2025 à 12:31] (Version actuelle) – [Ajout de règles dans la chaîne «input_ipv6»] prof
Ligne 158: Ligne 158:
 Ici, il faut en plus autoriser les types «nd-neighbor-solicit, nd-router-advert, nd-neighbor-advert» nécessaires à l'auto-configuration IPv6 : Ici, il faut en plus autoriser les types «nd-neighbor-solicit, nd-router-advert, nd-neighbor-advert» nécessaires à l'auto-configuration IPv6 :
 <html><pre class="code">  <html><pre class="code"> 
-<b>nft add rule inet filter input_ipv6  icmpv6 type echo-request limit rate 5/second  accept'</b> +<b>nft add rule inet filter input_ipv6  icmpv6 type echo-request limit rate 5/second  accept</b> 
-<b>nft add rule inet filter input_ipv6  icmpv6 type { nd-neighbor-solicit, nd-router-advert, nd-neighbor-advert }  accept'</b>+<b>nft add rule inet filter input_ipv6  icmpv6 type { nd-neighbor-solicit, nd-router-advert, nd-neighbor-advert }  accept</b>
 <b>nft list ruleset</b> <b>nft list ruleset</b>
  
Ligne 170: Ligne 170:
  chain input_ipv6 {  chain input_ipv6 {
  type filter hook input priority filter; policy accept;  type filter hook input priority filter; policy accept;
- icmpv6 type echo-request limit rate 5/second accept + <span class="hly"><b>icmpv6</b> type echo-request limit rate 5/second accept</span> 
- icmpv6 type { nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } accept+ <span class="hly"><b>icmpv6</b> type { nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } accept</span>
  }  }
  
Ligne 178: Ligne 178:
  }  }
 } }
 +</pre></html>
 +==== Ajout de règles dans la chaîne «input» ====
 +C'est ici que le destin de notre pare-feu se joue...
 +Concernant l'interface locale:
 +  nft add rule inet filter input iifname "lo" accept
 +Concernant le suivi des connexions :
 +  nft add rule inet filter input ct state vmap { established : accept, related : accept, invalid : drop }
 +Mettre en œuvre les chaînes «input_ipv4» et «input_ipv6»
  
 </pre></html> </pre></html>
Ligne 183: Ligne 191:
   nft add rule inet filter input ct state established, related accept   nft add rule inet filter input ct state established, related accept
 tout laisser entrer par l'interface locale: tout laisser entrer par l'interface locale:
-  nft add rule inet filter input iif lo accept+  Ajout de règles dans la chaîne «input_ipv6»
 autoriser certains signaux icmp: autoriser certains signaux icmp:
   nft add rule inet filter input icmp type {echo-request, destination-unreachable, time-exceeded, parameter-problem} accept   nft add rule inet filter input icmp type {echo-request, destination-unreachable, time-exceeded, parameter-problem} accept
Commencer avec Nftables: Dernière modification le: 27/06/2025 à 14:38 par prof