evolix
/
wiki
22
0
Fork 0
Code Releases Activity

Ajout d'un exemple de configuration en CLI

This commit is contained in:
Tristan PILAT 2020-08-18 16:41:56 +02:00
parent fff1b2417d
commit 3f06eb05d4
1 changed files with 33 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

33
Howtonftables.md
View File

@ -98,6 +98,39 @@ Supprimer toutes les règles de la chaine « input » appartenant à la table «
# nft flush chain inet filter input
~~~
## Exemple
Voici un exemple permettant de mettre en place un firewall. Il s'agit ici d'autoriser le trafic SSH à l'IP 203.0.113.1 seulement et le trafic HTTP/HTTPS à tous.
### Configuration en CLI
On doit donc réaliser les opérations suivantes :
Créer une table « filter » par exemple.
~~~
# nft add table inet filter
~~~
Créer une chaine « input » dans la table « filter » (drop du trafic par défaut).
~~~
# nft 'add chain inet filter input { type filter hook input priority 0 ; policy drop;}'
~~~
Créer une chaine « output » dans la table « filter » (autorisation du trafic par défaut).
~~~
# nft 'add chain inet filter output { type filter hook output priority 0 ; policy accept; }'
~~~
Ajouter les règles permettant le trafic SSH a l'IP 203.0.113.1 seulement et le trafic HTTP/HTTPS à tous.
~~~
# nft add rule inet filter input saddr 203.0.113.1/24 tcp dport ssh inet accept comment "Accept SSH on port 22 for IP 203.0.113.1"
# nft add rule inet filter input tcp dport { 80,443 } inet accept comment "Accept HTTP/HTTPS traffic"
~~~
Sous Debian des exemples de configuration sont visibles dans le dossier **/usr/share/doc/nftables/examples/**
## Débogage