nftables un remplaçant à iptables

Voir :

• https://www.sstic.org/media/SSTIC2013/SSTIC-actes/nftable/SSTIC2013-Slides-nftable-leblond.pdf
• https://wiki.debian.org/nftables
• https://wiki.archlinux.org/index.php/Nftables
• https://wiki.gentoo.org/wiki/Nftables
• Se protéger des attaques par force brute sur un serveur de mail grâce à nftables

A écouter : https://www.nolimitsecu.fr/nftables/

Une commande pour supprimer tous les paquets avec l'adresse IP de destination 1.2.3.4 :

apt-get install nft nftables
systemctl enable nftables.service

cp /usr/share/doc/nftables/examples/workstation.nft /etc/nftables.conf

nft list ruleset

Migration iptables vers nftable

#/sbin/iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
nft add rule ip filter INPUT tcp dport 22 ct state new counter accept

# iptables -A OUTPUT -d 1.2.3.4 -j DROP
nft add rule ip filter output ip daddr 1.2.3.4 drop

Ouvrir un port en sortie tout en logant

nft add rule output tcp dport 22 log accept

Ouvrir un port en entrée

#iptables -A INPUT -t superinput -p tcp --sport emule -j ACCEPT
nft add rule input tcp sport emule accept

Plusieurs IP en une seule règle

ip daddr { 192.168.0.0/24 => drop, 192.168.0.100 => accept}