Forum Linux.général configuration firewall netfilter : iptables ou nftables?

Posté par  . Licence CC By‑SA.
Étiquettes :
2
25
oct.
2022

Bonjour,
Je cherche à configurer une debian pour durcir la sécurité.

Je m'interroge sur le choix entre netfilter configuré avec iptables,ebtables,arptables et netfilter configuré avec nftables: lequel préconiseriez vous?

Par ailleurs, si je me connecte avec ma carte ethernet à une box, dois je configurer obligatoirement ebtables si j'ai fait des regles de filtrages avec iptables ?

Quelqu'un aurait-il des exemples de configuration de ebtables et arptables? (autant je trouve facilement des exemples d'iptables mais pas trop ces deux là)

Merci

  • # peut-etre un debut de piste ?

    Posté par  . Évalué à 4.

    IPtables c'est pour filtrer de l'IP
    là ou EBtables c'est pour filtrer de l'Ethernet

    DESCRIPTION
    ebtables is an application program used to set up and maintain the tables of rules (inside the Linux kernel)
    that inspect Ethernet frames. It is analogous to the iptables application, but less complicated, due to the
    fact that the Ethernet protocol is much simpler than the IP protocol.

    source : https://www.linux.org/docs/man8/ebtables.html

  • # nftables

    Posté par  (site web personnel) . Évalué à 10.

    nftables, sans hésiter. C'est un outil qui pilote le pare-feu du noyau Linux de façon unifiée. Il est plus récent, et remplace la série d'outils iptables, ip6tables, arptables et ebtables.

    • [^] # Re: nftables

      Posté par  (site web personnel) . Évalué à 4.

      Pareil : les nftables sont sorties il y a 10 ans : le code est bien éprouvé. De grandes distribution comme Debian ont basculé dessus par défaut. Le code a été ré-écrit pour être plus rapide et plus facilement maintenable. Et la syntaxe est plus homogène.

      • [^] # Re: nftables

        Posté par  (site web personnel) . Évalué à 4.

        Au passage, un truc que pas mal de monde ignorait, et qui n'a plus aucune importance maintenant qu'on a nftables : avec iptables, on pouvait déjà écrire un fichier de règles et le charger de façon atomique. Le script avec une série d'appels à la commande iptables était déjà caduque, en fait.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.