blog/content/migration_nftables.md

Title: Migration iptables -> nftables
Author: kleph
Email: kleph@kleph.eu
Category: Blog
Date: 2015/02/05
Tags: Linux, Internet
Lang: fr
Summary: Un article qui va parler de la migration vers nftables de mon routeur.

[TOC]

Avant de migrer le firewall du routeur principal, j'ai voulu commencer par plus petit. C'est donc la première partie d'une série de 2 ou 3 articles.
Une des machines de mon LAN utilise de la masquarade pour donner accès à une machine distante à travers un VPN.
Ce qui tombe assez bien, la masquarade vient d'être ajoutée dans la version 3.18 du noyau et cettte configuration simple est un bon exercice pour commencer.

# iptables

Voici le script précédent que je vais remplacer, c'est de la masquarade simple :

```bash
#!/bin/sh

# On efface les règles définies :
iptables -t filter -F
iptables -t nat -F

# Efface les chaînes définies :
iptables -X

# Politique par défaut :
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# forward entre interfaces réseau
echo "1" > /proc/sys/net/ipv4/ip_forward

# nat VPN (for jabber client on hyperion)
iptables -t nat -o tun0 -A POSTROUTING -j MASQUERADE
```

# nftables

On trouve un peu de documentation sur le net, en particulier sur le [wiki de nftables][1], ainsi que celui de [gentoo][2] et d'[archlinux][3]
Parmis les changements notables dès que l'on commence à se documenter, il y a le fait que les tables et les chaînes classiques d'iptables ne sont pas créées par défaut.
Il faut donc les déclarer, et comme il n'y a pas de chaînes, il n'y a pas non plus de politique par défaut.

La masquarade est un cas particulier de source NAT, l'adresse source n'est pas définie explicitement dans la règle. C'est l'adresse de l'interface de sortie qui va remplacer à la volée celle d'origine des paquets.
Le choix est donc fait une fois la décision de routage prise, et s'opère donc en `postrouting`.
Pour rappel, voici le schémas du [parcours d'un paquet réseau au travers de netfilter][4].
Comme les chaînes n'existent pas par défault, il faut aussi rajouter celle qui va venir s'accrocher au hook `prerouting` de netfilter, pour que le remplacement inverse soit effectué lorsque les paquets reviendront.

Voici donc ce que ça donne :

```bash
#!/bin/sh
# activate masquerade

IF_OUTPUT=tun0

# ensure iptable_nat is not loaded
lsmod | grep -q iptable_nat
ret=$?

if [ ${ret} -eq 0 ]; then
        echo "nft usage is not compatible with iptables_nat"
        echo "please remove iptable_nat module"
        exit 1
fi

# remove existing rules
nft flush ruleset

# masquerade
nft add table nat
# add prerouting to translate back the address when packets returns
nft add chain nat prerouting { type nat hook prerouting priority 0\; }

# postrouting to translate source address
nft add chain nat postrouting { type nat hook postrouting priority 0\; }

# masquerade effective rule
nft add rule nat postrouting oif ${IF_OUTPUT} masquerade

# active packet forwarding between interfaces (routing)
echo "1" > /proc/sys/net/ipv4/ip_forward
# ipv6
# /proc/sys/net/ipv6/conf/all/forwarding = 1

```

[1]: http://wiki.nftables.org/wiki-nftables/index.php/Main_Page
[2]: http://wiki.gentoo.org/wiki/Nftables
[3]: https://wiki.archlinux.org/index.php/Nftables
[4]: http://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg
[article] Ajout du début de l'article sur la migration vers nftables 2015-02-05 20:34:30 +01:00			`Title: Migration iptables -> nftables`
			`Author: kleph`
Move kleph.info -> kleph.eu 2018-02-14 01:46:33 +01:00			`Email: kleph@kleph.eu`
[article] Ajout du début de l'article sur la migration vers nftables 2015-02-05 20:34:30 +01:00			`Category: Blog`
			`Date: 2015/02/05`
			`Tags: Linux, Internet`
			`Lang: fr`
Add summary to all articles (better homepage display) 2020-05-29 16:34:30 +02:00			`Summary: Un article qui va parler de la migration vers nftables de mon routeur.`
[article] Ajout du début de l'article sur la migration vers nftables 2015-02-05 20:34:30 +01:00
[articles] Add TOC 2019-09-08 18:01:10 +02:00			`[TOC]`

[articles] Ajout de liens - corrections de typo sur l'article nftables 2015-02-05 21:28:18 +01:00			`Avant de migrer le firewall du routeur principal, j'ai voulu commencer par plus petit. C'est donc la première partie d'une série de 2 ou 3 articles.`
			`Une des machines de mon LAN utilise de la masquarade pour donner accès à une machine distante à travers un VPN.`
			`Ce qui tombe assez bien, la masquarade vient d'être ajoutée dans la version 3.18 du noyau et cettte configuration simple est un bon exercice pour commencer.`
[article] Ajout du début de l'article sur la migration vers nftables 2015-02-05 20:34:30 +01:00
[lint] lint migration nf_tables 2020-10-27 19:54:55 +01:00			`# iptables`
[article] Ajout du début de l'article sur la migration vers nftables 2015-02-05 20:34:30 +01:00
[articles] Ajout de liens - corrections de typo sur l'article nftables 2015-02-05 21:28:18 +01:00			`Voici le script précédent que je vais remplacer, c'est de la masquarade simple :`
[article] Ajout du début de l'article sur la migration vers nftables 2015-02-05 20:34:30 +01:00
[article][migration] Fix syntax hilighting 2019-09-08 17:56:27 +02:00			```bash
[articles] Ajout de liens - corrections de typo sur l'article nftables 2015-02-05 21:28:18 +01:00			`#!/bin/sh`
[article] Ajout du début de l'article sur la migration vers nftables 2015-02-05 20:34:30 +01:00
			`# On efface les règles définies :`
			`iptables -t filter -F`
			`iptables -t nat -F`

			`# Efface les chaînes définies :`
			`iptables -X`

			`# Politique par défaut :`
			`iptables -P INPUT ACCEPT`
			`iptables -P OUTPUT ACCEPT`
			`iptables -P FORWARD ACCEPT`

			`# forward entre interfaces réseau`
			`echo "1" > /proc/sys/net/ipv4/ip_forward`

			`# nat VPN (for jabber client on hyperion)`
			`iptables -t nat -o tun0 -A POSTROUTING -j MASQUERADE`
			```

[lint] lint migration nf_tables 2020-10-27 19:54:55 +01:00			`# nftables`

[articles] ajout du lien vers le schémas du parcours des paquets réseau dans netfilter 2015-02-05 23:39:01 +01:00			`On trouve un peu de documentation sur le net, en particulier sur le [wiki de nftables][1], ainsi que celui de [gentoo][2] et d'[archlinux][3]`
[articles] Ajout de liens - corrections de typo sur l'article nftables 2015-02-05 21:28:18 +01:00			`Parmis les changements notables dès que l'on commence à se documenter, il y a le fait que les tables et les chaînes classiques d'iptables ne sont pas créées par défaut.`
			`Il faut donc les déclarer, et comme il n'y a pas de chaînes, il n'y a pas non plus de politique par défaut.`
[article] Ajout du début de l'article sur la migration vers nftables 2015-02-05 20:34:30 +01:00
[articles] Ajout de liens - corrections de typo sur l'article nftables 2015-02-05 21:28:18 +01:00			`La masquarade est un cas particulier de source NAT, l'adresse source n'est pas définie explicitement dans la règle. C'est l'adresse de l'interface de sortie qui va remplacer à la volée celle d'origine des paquets.`
			Le choix est donc fait une fois la décision de routage prise, et s'opère donc en `postrouting`.
[articles] ajout du lien vers le schémas du parcours des paquets réseau dans netfilter 2015-02-05 23:39:01 +01:00			`Pour rappel, voici le schémas du [parcours d'un paquet réseau au travers de netfilter][4].`
[articles] Ajout de liens - corrections de typo sur l'article nftables 2015-02-05 21:28:18 +01:00			Comme les chaînes n'existent pas par défault, il faut aussi rajouter celle qui va venir s'accrocher au hook `prerouting` de netfilter, pour que le remplacement inverse soit effectué lorsque les paquets reviendront.
[article] Ajout du début de l'article sur la migration vers nftables 2015-02-05 20:34:30 +01:00
			`Voici donc ce que ça donne :`
[articles] Ajout de liens - corrections de typo sur l'article nftables 2015-02-05 21:28:18 +01:00
[article][migration] Fix syntax hilighting 2019-09-08 17:56:27 +02:00			```bash
[articles] Ajout de liens - corrections de typo sur l'article nftables 2015-02-05 21:28:18 +01:00			`#!/bin/sh`
[article] Ajout du début de l'article sur la migration vers nftables 2015-02-05 20:34:30 +01:00			`# activate masquerade`

			`IF_OUTPUT=tun0`

			`# ensure iptable_nat is not loaded`
			`lsmod \| grep -q iptable_nat`
			`ret=$?`

			`if [ ${ret} -eq 0 ]; then`
			`echo "nft usage is not compatible with iptables_nat"`
			`echo "please remove iptable_nat module"`
			`exit 1`
			`fi`

			`# remove existing rules`
			`nft flush ruleset`

			`# masquerade`
			`nft add table nat`
[articles] Ajout de liens - corrections de typo sur l'article nftables 2015-02-05 21:28:18 +01:00			`# add prerouting to translate back the address when packets returns`
[article] Ajout du début de l'article sur la migration vers nftables 2015-02-05 20:34:30 +01:00			`nft add chain nat prerouting { type nat hook prerouting priority 0\; }`

			`# postrouting to translate source address`
			`nft add chain nat postrouting { type nat hook postrouting priority 0\; }`

			`# masquerade effective rule`
			`nft add rule nat postrouting oif ${IF_OUTPUT} masquerade`

			`# active packet forwarding between interfaces (routing)`
			`echo "1" > /proc/sys/net/ipv4/ip_forward`
			`# ipv6`
[lint] lint migration nf_tables 2020-10-27 19:54:55 +01:00			`# /proc/sys/net/ipv6/conf/all/forwarding = 1`
[article] Ajout du début de l'article sur la migration vers nftables 2015-02-05 20:34:30 +01:00
			```

[articles] ajout du lien vers le schémas du parcours des paquets réseau dans netfilter 2015-02-05 23:39:01 +01:00			`[1]: http://wiki.nftables.org/wiki-nftables/index.php/Main_Page`
			`[2]: http://wiki.gentoo.org/wiki/Nftables`
			`[3]: https://wiki.archlinux.org/index.php/Nftables`
			`[4]: http://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg`