Compléments NFtables
NFtables est un “framework” (une infrastructure logicielle ?) développé au sein du projet Netfilter qui procure le filtrage de paquets, la translation d'adresses et d'autres “bricolages” sur les paquets.
C'est le successeur d'IPtables qui, de l'aveu même de son concepteur, était mal écrit et peu optimisé. Il utilise le sous-système nf_tables
du “kernel”.
Debian adopte par défaut ce «framework» depuis «Buster» (Debian 10) mais comme d'habitude dans cette distribution, la transition va se faire en douceur. En effet, les commandes iptables
seront toujours utilisables, mais aussi ip6tables
, arptables
et ebtables
. C'est encore le cas à ce jour (26/03/2025) avec «Bookworm» (Debian 12) et se trouve encore sur «Trixie», encore «Testing» lorsque ces lignes ont commencé à être rédigées. Trixie est stable depuis le 9 août 2025.
Juste un mot sur ces outils qui ne sont pas évoqués ailleurs sur ce site:
ip6tabes
est assez facile à deviner, c'est pareil queiptables
mais pour IPv6;arptables
Arptables est utilisé pour configurer, maintenir et inspecter les tables de règles ARP dans le noyau Linux. Il est analogue à iptables mais fonctionne au niveau ARP plutôt que IP.(définition donnée dans le paquet “arptables”);ebtables
est utilisé pour configurer, maintenir et inspecter les tables de règles de filtrage des trames ethernet. Il est analogue à iptables mais fonctionne au niveau de la couche ethernet plutôt que la couche IP.(définition donnée dans le paquet “ebtables”).
L'ensemble de ces outils, iptables
compris, repose sur le module kernel x_tables
L’objet de ce chapitre et de montrer comment utiliser pleinement ce “framework” avec l'outil nft
et la nouvelle syntaxe pour les règles. Notons tout de suite que nftables
dispose d'un outil unique nft
qui permet de gérer des règles concernant aussi bien IP qu'IPv6, ARP ou ethernet.