{{tag>Réseau Sécurité}}

= nftables un remplaçant à iptables

Voir : 
* https://www.sstic.org/media/SSTIC2013/SSTIC-actes/nftable/SSTIC2013-Slides-nftable-leblond.pdf
* https://wiki.debian.org/nftables
* https://wiki.archlinux.org/index.php/Nftables
* https://wiki.gentoo.org/wiki/Nftables
* [[https://linuxfr.org/users/arodier/journaux/attaques-par-force-brute-sur-un-serveur-de-mail|Se protéger des attaques par force brute sur un serveur de mail grâce à nftables]]

A écouter : https://www.nolimitsecu.fr/nftables/

Une commande pour supprimer tous les paquets avec l'adresse IP de destination 1.2.3.4 :

<code bash>
apt-get install nft nftables
systemctl enable nftables.service
</code>

FIXME
<code bash>
cp /usr/share/doc/nftables/examples/workstation.nft /etc/nftables.conf
</code>

<code bash>
nft list ruleset
</code>

[[https://wiki.nftables.org/wiki-nftables/index.php/Moving_from_iptables_to_nftables|Migration iptables vers nftable]]
<code ->
#/sbin/iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
nft add rule ip filter INPUT tcp dport 22 ct state new counter accept
</code>

<code bash>
# iptables -A OUTPUT -d 1.2.3.4 -j DROP
nft add rule ip filter output ip daddr 1.2.3.4 drop
</code>

Ouvrir un port en sortie tout en logant
<code bash>
nft add rule output tcp dport 22 log accept
</code>

Ouvrir un port en entrée
<code bash>
#iptables -A INPUT -t superinput -p tcp --sport emule -j ACCEPT
nft add rule input tcp sport emule accept
</code>

Plusieurs IP en une seule règle
<code bash>
ip daddr { 192.168.0.0/24 => drop, 192.168.0.100 => accept}
</code>