Nftables : Différence entre versions

De Linux Server Wiki
Sauter à la navigation Sauter à la recherche
Ligne 13 : Ligne 13 :
 
nft list table <type> <name>
 
nft list table <type> <name>
 
nft list ruleset
 
nft list ruleset
 +
</pre>
 +
 +
Exemple d'ajout de règles dans une table 'ipsec' qui se branche sur l'input et :
 +
* autorise le protocol ESP depuis l'ip source 90.115.19.124
 +
* autorise le protocol UDP, ports 500 et 4500, depuis l'ip source 90.115.19.124
 +
<pre>
 +
nft add table ip ipsec
 +
nft add chain ip ipsec INPUT '{ type filter hook input priority 0; policy accept; }'
 +
nft add rule ip ipsec INPUT iifname "ens192" ip protocol esp ip saddr 90.115.19.124 accept
 +
nft add rule ip ipsec INPUT iifname "ens192" ip protocol udp ip saddr 90.115.19.124 udp dport { 500,4500 } accept
 
</pre>
 
</pre>

Version du 1 janvier 2020 à 13:58

  • iptables legacy : iptables-legacy* ip6tables-legacy*
  • iptables nftables : iptables-nft* ip6tables-nft*. Parse la syntaxe iptables, créé les commande nftables correspondantes. Utilises libnftnl (comme nft), ce n'est donc pas un "simple" convertisseur de syntaxe textuelle.
  • nftables : nft

Les règles crées avec iptables-nft ou ip6tables-nft peuvent se retrouver avec nft. Par exemple, pour les règles filter (iptables-nft -t filter, qui est le fonctionnement "par défaut" de iptables-nft (et iptables-legacy)) :

nft list table ip filter
nft list table ip6 filter
nft list tables
nft list table <type> <name>
nft list ruleset

Exemple d'ajout de règles dans une table 'ipsec' qui se branche sur l'input et :

  • autorise le protocol ESP depuis l'ip source 90.115.19.124
  • autorise le protocol UDP, ports 500 et 4500, depuis l'ip source 90.115.19.124
nft add table ip ipsec
nft add chain ip ipsec INPUT '{ type filter hook input priority 0; policy accept; }'
nft add rule ip ipsec INPUT iifname "ens192" ip protocol esp ip saddr 90.115.19.124 accept
nft add rule ip ipsec INPUT iifname "ens192" ip protocol udp ip saddr 90.115.19.124 udp dport { 500,4500 } accept