Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

nftables: nouveau pare-feu

grandtoubab

Salut
Maintenant que nftables va devenir la norme, j'ai migré de iptables à nftables:
https://bidouilledebian.wordpress.com/2019/02/19/pare-feu-nftables/

nft list ruleset; date; who -b
table inet filter {
	chain input {
		type filter hook input priority 0; policy accept;
		iif "lo" accept
		ct state established,related accept
		tcp dport { ssh, http, https, 8200 } ct state new accept
		counter packets 6889 bytes 3006321 drop
	}
}
samedi 23 février 2019, 09:07:38 (UTC+0100)
         démarrage système 2019-02-23 07:05

En 2h, 6889 paquets rejetés et inutiles dans mon utilisation classique ( surf sur Internet, Molotov,etc) , ça me convient :cool:

bruno

Salut,

nftables c'est intéressant et le truc a été ressuscité il y a quelques années mais je ne suis pas sûr que cela vaille le coût d'investir du temps dans son apprentissage. Les développeurs du noyau pourraient privilégier un autre système de filtrage des paquets : bpfilter. Voir aussi : https://cilium.io/blog/2018/04/17/why-is-the-kernel-community-replacing-iptables/

grandtoubab

bruno a écritSalut,

nftables c'est intéressant et le truc a été ressuscité il y a quelques années mais je ne suis pas sûr que cela vaille le coût d'investir du temps dans son apprentissage. Les développeurs du noyau pourraient privilégier un autre système de filtrage des paquets : bpfilter. Voir aussi : https://cilium.io/blog/2018/04/17/why-is-the-kernel-community-replacing-iptables/

The end result is that we'll probably not see bpfilter in the mainline kernel in the immediate future.

https://wiki.debian.org/nftables a écritNOTE: Debian Buster will use the nftables framework by default.

Debian 10 Buster sera la version stable d'ici 3/4 mois

bruno

Oui j'ai vu, mais nftables est très peu utilisé, et surtout nécessite une réécriture complète des règles de pare-feu. Les adminsys continueront, pour la plupart, à utiliser ipatbles qui sera toujours présent sur les différentes distributions.
nftables corrige pas mal de défaut de iptables et les distributions, Debian, RedHat, etc. ont raison de le proposer par défaut. Mais bpfilter me semble encore plus prometteur et est compatibles avec iptables.
Comme toujours avec les technologies, on peut expérimenter, mais il est urgent d'attendre avant de les déployer en production 😉

grandtoubab

J'utilise le firewall donc nftables d'une façon basique, règles par défaut de Debian , donc pas de problèmes pour repartir avec des règles toutes neuves dans mon cas. 🙂
Et parce que d'après tout ce que j'ai lu ça va plus vite donc gain de performances
Exemple

https://blogs.gnome.org/dcbw/2018/07/27/the-ascendance-of-nftables/ a écritWhat’s Wrong With iptables?

iptables is slow.

https://linux-audit.com/differences-between-iptables-and-nftables-explained/ a écritOne of the important changes is that nftables is optimized for speed

Mais c'est plus pour l'amusement qu'autres choses