-
nouveau filtrage de paquets nftables :
-
disponible depuis les noyaux Linux 3.13 ;
- nouvel utilitaire nft avec une syntaxe différente (ben voyons) ;
- un utilitaire compatible iptables peut encore être utilisé (iptables-nft) ;
- intégration d’IPv4 et d’IPv6 ;
- plusieurs actions possibles par règles ;
- en résumé pas de révolution mais une réécriture.
- Paquetages Debian/Devuan :
-
nftables : l’utilitaire nft ;
- iptables : l’utilitaire de transistion iptables-nft.
- Vous l’utilisez déjà :
# ls -l /usr/sbin/iptables
lrwxrwxrwx 1 root root 26 9 avril 2019 /usr/sbin/iptables -> /etc/alternatives/iptables
# ls -l /etc/alternatives/iptables
lrwxrwxrwx 1 root root 22 9 avril 2019 /etc/alternatives/iptables -> /usr/sbin/iptables-nft
- Pas de table prédéfinie, il faut en ajouter :
# nft add table {ip|arp|ip6|bridge|inet|netdev} <nom_table>
- Pas de chaîne prédéfinie, il faut en ajouter :
# nft add chain <nom_table> <nom_chaine> \
{ type {filter|route|nat} \
hook {prerouting|input|forward|output|postrouting} \
priority <niveau_priorité> \; [ policy {accept|drop} \; ] \
}
- Vous pouvez enfin ajouter ou retirer des règles :
# nft add rule <nom_table> <nom_chaîne> <contraintes> {drop|accept|...}
