Bonsoir à tous,
J'ai toujours écrit mes firewalls à la main. Aujourd'hui, un script charge au démarrage le contenu de /var/lib/iptables/active au travers de iptables (nf_tables).
Or iptables-legacy est toujours disponible.
J'avoue avoir un peu de mal à comprendre le lien entre les deux filtres.
Root rayleigh:[~] > iptables-legacy -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Root rayleigh:[~] > Root rayleigh:[~] > iptables -L
# Warning: iptables-legacy tables present, use iptables-legacy to see them Chain INPUT (policy DROP)
target prot opt source destination
f2b-recidive tcp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:smtp ...
Chain f2b-recidive (1 references)
target prot opt source destination
REJECT all -- subnet.crackbox.io anywhere
reject-with icmp-port-unreachable
REJECT all -- 193.56.29.178 anywhere
reject-with icmp-port-unreachable
REJECT all -- 147.78.103.120 anywhere
reject-with icmp-port-unreachable
RETURN all -- anywhere anywhere
Root rayleigh:[~] >
D'après iptables-legacy, tout est ouvert. D'après iptables, tout est fermé sauf ce qui est explicitement ouvert.
La question est simple. Si je change la règle par défaut iptables-legacy -DINPUT DROP, plus rien ne fonctionne. Les deux systèmes sont-ils en série ? Un paquet traverse-t-il d'abord un système de filtre puis l'autre en séquence ? Je n'ai pas trouvé l'information (je dois chercher au mauvais endroit)...
Bien cordialement,
JB
Bonsoir
https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft
NoSpam a écrit :
Bonsoir
https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft
Merci.
Mais ça ne répond pas trop à ma question sauf s'il faut comprendre
entre les lignes que les paquets passent d'abord par les xtables avant
de passer par les nftables.
NoSpam a écrit :
Bonsoir
https://developers.redhat.com/blog/2020/08/18/iptables-the-two-variants-and-their-relationship-with-nftables#using_iptables_nft
Merci.
Mais ça ne répond pas trop à ma question sauf s'il faut comprendre entre les lignes que les paquets passent d'abord par les xtables avant
de passer par les nftables.
Et d'ailleurs pourquoi mixer les outils ?
Plutôt qu'une doc redhat (un comble sur cette liste) il faut utiliser la source : https://wiki.nftables.org/wiki-nftables/index.php/What_is_nftables%3F
Donc dans xtables le x c'est pour ip/ip6/... nftables c'est ça qu'il faut utiliser de nos jours. Et les xtables et nftables ce sont les outils pour utiliser netfilter. Les paquets ne passent que par netfilter.[...]
Le 28/06/2023 à 08:32, Michel Verdier a écrit :
Plutôt qu'une doc redhat (un comble sur cette liste) il faut utiliser la
source :
https://wiki.nftables.org/wiki-nftables/index.php/What_is_nftables%3F
La plupart du temps, tu as raison, c'est mieux de directement se renseigner sur le site de l'éditeur du logiciel concerné
Ceci dit, sans polémique aucune, parfois les docs ou les wiki d'autres distros
sont plus détaillées, précises, à jour, etc... que ceux de Debian :-)
mais de ce que j'avais cru comprendre, il y a des frontends (tables xtables ou tables nft) à des backends (netfilter ou nft).
Le backend nft serait une version révisée du backend netfilter, par la même
équipe, en s'appuyant sur certaines parties de l'ancien backend netfilter. Si
on cherche dans /boot/config*, on trouve des chaînes CONFIG_NETFILTER* et CONFIG_NFT.
Je suis un peu flemmard sur les bords. Lorsque j'ai un serveur connecté
à plusieurs réseaux et des VPN avec un firewall de plusieurs centaines
de lignes qui est éprouvé, je ne m'amuse pas à le changer pour le fun et la beauté du geste. Par ailleurs, la syntaxe iptables fonctionne
toujours pour les nftables (raison pour laquelle on se retrouve avec iptables-legacy et iptables). Il n'y a donc aucune raison valable à ce
que les deux mécanismes cohabitent. À l'extrême limite, ce genre de
chose est une bidouille interne au noyau et cela devrait être
transparent du point de vue de l'utilisateur.
Bonsoir à tous,
J'ai toujours écrit mes firewalls à la main. Aujourd'hui, un script charge au démarrage le contenu de /var/lib/iptables/active au travers de iptables (nf_tables).
Or iptables-legacy est toujours disponible.
J'avoue avoir un peu de mal à comprendre le lien entre les deux filtres.
Root rayleigh:[~] > iptables-legacy -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Root rayleigh:[~] > Root rayleigh:[~] > iptables -L
# Warning: iptables-legacy tables present, use iptables-legacy to see them Chain INPUT (policy DROP)
target prot opt source destination
f2b-recidive tcp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:smtp ...
Chain f2b-recidive (1 references)
target prot opt source destination
REJECT all -- subnet.crackbox.io anywhere
reject-with icmp-port-unreachable
REJECT all -- 193.56.29.178 anywhere
reject-with icmp-port-unreachable
REJECT all -- 147.78.103.120 anywhere
reject-with icmp-port-unreachable
RETURN all -- anywhere anywhere
Root rayleigh:[~] >
D'après iptables-legacy, tout est ouvert. D'après iptables, tout est fermé sauf ce qui est explicitement ouvert.
La question est simple. Si je change la règle par défaut iptables-legacy -DINPUT DROP, plus rien ne fonctionne. Les deux systèmes sont-ils en série ? Un paquet traverse-t-il d'abord un système de filtre puis l'autre en séquence ? Je n'ai pas trouvé l'information (je dois chercher au mauvais endroit)...
Bien cordialement,
JB
Le 28 juin 2023 didier gaumet a écrit :[...]
mais de ce que j'avais cru comprendre, il y a des frontends (tables xtables
ou tables nft) à des backends (netfilter ou nft).
Le backend nft serait une version révisée du backend netfilter, par la même
équipe, en s'appuyant sur certaines parties de l'ancien backend netfilter. Si
on cherche dans /boot/config*, on trouve des chaînes CONFIG_NETFILTER* et >> CONFIG_NFT.
netfilter c'est le framework de filtrage du kernel, et il est toujours d'actualité. Il supporte nf_tables et/ou xtables (donc ip_tables). nft
c'est l'outil userspace pour parmétrer nf_tables.
Sysop: | Keyop |
---|---|
Location: | Huddersfield, West Yorkshire, UK |
Users: | 307 |
Nodes: | 16 (2 / 14) |
Uptime: | 44:32:43 |
Calls: | 6,910 |
Files: | 12,376 |
Messages: | 5,429,356 |