« Nftables » : différence entre les versions

• iptables legacy : iptables-legacy* ip6tables-legacy*
• iptables nftables : iptables-nft* ip6tables-nft*. Parse la syntaxe iptables, créé les commande nftables correspondantes. Utilises libnftnl (comme nft), ce n'est donc pas un "simple" convertisseur de syntaxe textuelle.
• nftables : nft

Les règles crées avec iptables-nft ou ip6tables-nft peuvent se retrouver avec nft. Par exemple, pour les règles filter (iptables-nft -t filter, qui est le fonctionnement "par défaut" de iptables-nft (et iptables-legacy)) :

nft list table ip filter
nft list table ip6 filter

Lister les tables, une table spécifique, et la totalité du ruleset nftables :

nft list tables
nft list table <type> <name>
nft list ruleset

Exemple d'ajout de règles dans une table 'ipsec' qui se branche sur l'input et :

• autorise le protocol ESP depuis l'ip source 90.115.19.124
• autorise le protocol UDP, ports 500 et 4500, depuis l'ip source 90.115.19.124

nft add table ip ipsec
nft add chain ip ipsec INPUT '{ type filter hook input priority 0; policy accept; }'
nft add rule ip ipsec INPUT iifname "ens192" ip protocol esp ip saddr 90.115.19.124 accept
nft add rule ip ipsec INPUT iifname "ens192" ip protocol udp ip saddr 90.115.19.124 udp dport { 500,4500 } accept

Flush et suppression d'une table :

nft flush table <type> <name>
nft delete table <type> <name>