« Nftables » : différence entre les versions

Aller à la navigation Aller à la recherche
154 octets ajoutés ,  1 janvier 2020
Aucun résumé des modifications
Ligne 35 : Ligne 35 :
* Lorsque vous créez une chaîne, vous pouvez la brancher sur un hook. Par exemple, <code>type filter hook input priority 0; policy accept;</code> connecte la chaîne au hook input (paquets entrant sur le serveur), avec une priorité 0, et une policy (action par défaut) d'acceptation
* Lorsque vous créez une chaîne, vous pouvez la brancher sur un hook. Par exemple, <code>type filter hook input priority 0; policy accept;</code> connecte la chaîne au hook input (paquets entrant sur le serveur), avec une priorité 0, et une policy (action par défaut) d'acceptation
** La priorité permet d'ordonner plusieurs hooks entre elles. (-10 en premier, 0 en second, 10 en dernier, par exemple).
** La priorité permet d'ordonner plusieurs hooks entre elles. (-10 en premier, 0 en second, 10 en dernier, par exemple).
* Un verdict accept provoque l'acceptation du paquet et l'arrêt du processing des règles, mais uniquement à l'intérieur d'une même chaîne lié à un hook.
* Sur une règle, un verdict accept provoque l'acceptation du paquet et l'arrêt du processing des règles, mais uniquement à l'intérieur d'une même chaîne lié à un hook. Si il y a plusieurs hook input, un paquet accepté dans un premier hook input sera également évalué dans les hooks input ultérieurs.
* Un verdict drop provoque le drop instantané du paquet et l'arrêt de processing de toutes les règles y compris des hooks de priorité ultérieurs.
* Un verdict drop provoque le drop instantané du paquet et l'arrêt de processing de toutes les règles y compris des hooks de priorité ultérieurs.
* Exemple: si un paquet entrant (hook input) est accepté par une règle dans une chaine lié à un hook input de priority 0, mais qu'une autre règle existe dans une autre chaîne lié à un hook input de priorité ultérieure (priority 1 par exemple), le paquet sera évalué une seconde fois par cette deuxième chaîne. Si ce même paquet était matché dans le premier hook input de priority 0 par une règle drop, il serait droppé et non évalué par le deuxième hook de priority 1 (car il est droppé immédiatement).
* Exemple: si un paquet entrant (hook input) est accepté par une règle dans une chaîne lié à un hook input de priority 0, mais qu'une autre règle existe dans une autre chaîne lié à un hook input de priorité ultérieure (priority 1 par exemple), le paquet sera évalué une seconde fois par cette deuxième chaîne. Si ce même paquet était matché dans le premier hook input de priority 0 par une règle drop, il serait droppé et non évalué par le deuxième hook de priority 1 (car il est droppé immédiatement).


Exemple :
Exemple :
4 199

modifications

Menu de navigation