Je souhaite passer de Iptables à Nftables mais j'ai une question concernant nftables. A quoi sert la ligne "oif". Voici mon nftables et si en sortie je ne mets pas la ligne
meta iif, oif, iifname and oifname are used to match the interface a packet arrived on or is about to be sent out on
iif and oif are used to match on the interface index, whereas iifname and oifname are used to match on the interface name. This is not the same —
assuming the rule
│ Keyword │ Description │Type
│iif │ Input interface index │ iface_index │
├──────────┼────────────────────────────────────────┼────────────────────────────┤
│iifname │ Input interface name │ ifname │
├──────────┼────────────────────────────────────────┼────────────────────────────┤
│iiftype │ Input interface type │ iface_type │
├──────────┼────────────────────────────────────────┼────────────────────────────┤
│oif │ Output interface index │ iface_index │
├──────────┼────────────────────────────────────────┼────────────────────────────┤
│oifname │ Output interface name │ ifname │
├──────────┼────────────────────────────────────────┼────────────────────────────┤
│oiftype │ Output interface hardware type │ iface_type │
Ce n'est pas parce que tu sais utiliser une commande que tu sais à quoi elle correspond.
Je n'ai pas d'erreur d'exécution.
Si je remplace inet par ip OU par ip6 pas de problème mais je ne peux pas utiliser les 2 en même temps !
"oif" spécifie l'interface de sortie du paquet dans une règle. La règle 'oif "enp2s0" accept' accepte donc tous les paquets émis par l'interface enp2s0 puisqu'elle ne contient pas d'autre critère.
Il est logique qu'aucune connexion sortante ne soit possible sans cette règle puisque les autres règles de la chaîne de sortie n'acceptent que des paquets ayant un port source correspondant plutôt à un paquet de réponse.
Qu'est censé faire ce jeu de règles ? Si tu veux autoriser les connexions sortantes HTTP et HTTPS et les requêtes DNS et DHCP (et bloquer tout le reste), il faudrait plutôt spécifier le port destination. D'autre part DNS utilise aussi et surtout UDP et DHCP utilise uniquement UDP.
table inet filtre_ipV4_V6 {
chain entree_V4_V6 {
type filter hook input priority filter; policy accept;
ct state invalid drop
ct state established,related accept
icmp type echo-reply accept
icmpv6 type echo-reply accept
drop
}
chain sortie_V4_V6 {
type filter hook output priority filter; policy accept;
tcp dport 53 accept
tcp dport 80 accept
tcp dport 443 accept
tcp dport 547 accept
udp dport 547 accept
icmp type echo-request accept
icmpv6 type echo-request accept
ip daddr 192.168.0.254 accept
drop
}
}
mais impossible d'obtenir une ip v6
J'ai tout essayé (enfin sauf ce qui fonctionne ) mais rien ne marche. Vous pourriez m'expliquer pourquoi ? Et éventuellement me dire comment l'améliorer pour une plus grande sécurité
Salut @olivbarb ,
Je te suggère d'ouvrir un nouveau topic. Ici tu n'obtiendras pas de réponse (le sujet du post est très vague...).
Règles d'usage du forum. Signalez si vous avez posté votre question sur un autre forum. Explications ici
Debian Unstable. Mate/LXQT. Dieu, en créant l'homme, a quelque peu surestimé ses capacités.
) mais rien ne marche. Vous pourriez m'expliquer pourquoi ? Et éventuellement me dire comment l'améliorer pour une plus grande sécurité