kleph/blog
1
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

[lint] lint migration nf_tables
All checks were successful
continuous-integration/drone/push Build is passing
Details

Browse source
This commit is contained in:
kleph 2020-10-27 19:54:55 +01:00
parent 1579bee9a4
commit 1290db0225
1 changed files with 4 additions and 3 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

7
content/migration_nftables.mdown → content/migration_nftables.md
View file

@ -13,8 +13,8 @@ Avant de migrer le firewall du routeur principal, j'ai voulu commencer par plus
Une des machines de mon LAN utilise de la masquarade pour donner accès à une machine distante à travers un VPN. Une des machines de mon LAN utilise de la masquarade pour donner accès à une machine distante à travers un VPN.
Ce qui tombe assez bien, la masquarade vient d'être ajoutée dans la version 3.18 du noyau et cettte configuration simple est un bon exercice pour commencer. Ce qui tombe assez bien, la masquarade vient d'être ajoutée dans la version 3.18 du noyau et cettte configuration simple est un bon exercice pour commencer.
# iptables
## iptables
Voici le script précédent que je vais remplacer, c'est de la masquarade simple : Voici le script précédent que je vais remplacer, c'est de la masquarade simple :
```bash ```bash
@ -39,7 +39,8 @@ echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -o tun0 -A POSTROUTING -j MASQUERADE iptables -t nat -o tun0 -A POSTROUTING -j MASQUERADE
``` ```
## nftables # nftables
On trouve un peu de documentation sur le net, en particulier sur le [wiki de nftables][1], ainsi que celui de [gentoo][2] et d'[archlinux][3] On trouve un peu de documentation sur le net, en particulier sur le [wiki de nftables][1], ainsi que celui de [gentoo][2] et d'[archlinux][3]
Parmis les changements notables dès que l'on commence à se documenter, il y a le fait que les tables et les chaînes classiques d'iptables ne sont pas créées par défaut. Parmis les changements notables dès que l'on commence à se documenter, il y a le fait que les tables et les chaînes classiques d'iptables ne sont pas créées par défaut.
Il faut donc les déclarer, et comme il n'y a pas de chaînes, il n'y a pas non plus de politique par défaut. Il faut donc les déclarer, et comme il n'y a pas de chaînes, il n'y a pas non plus de politique par défaut.
@ -84,7 +85,7 @@ nft add rule nat postrouting oif ${IF_OUTPUT} masquerade
# active packet forwarding between interfaces (routing) # active packet forwarding between interfaces (routing)
echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_forward
# ipv6 # ipv6
# /proc/sys/net/ipv6/conf/all/forwarding = 1 # /proc/sys/net/ipv6/conf/all/forwarding = 1
``` ```