Filtrez votre réseau avec Nftables

Spécialité(s)


Résumé

Vous vous sentez enfin à l’aise avec iptables et là vous apprenez que Nftables est maintenant prêt pour la production. Voici donc quelques clefs pour se préparer au changement et soutenir facilement une discussion avec un fan d'OpenBSD.


1. Nftables, mais bien sûr

1.1 Genèse du projet

Nftables n’est pas un fork d’iptables, c’est l’équipe de Netfilter [1], responsable de la couche pare-feu de Linux qui est repartie de zéro et a écrit un nouveau moteur de filtrage. Cette opération table rase a été initiée en 2008. Elle a ensuite sommeillé pendant quelques années avant de voir le développement repartir il y a quelques années. L’article sur Nftables de 2014 [2] a présenté en détail les motivations du changement. Il y a d’abord eu une volonté de simplifier le code, mais aussi un souhait de clarification au niveau du langage de configuration. Les commandes iptables avaient perdu en homogénéité au fil du temps et il devenait parfois compliqué de savoir quelle était exactement la syntaxe.

Celle de Nftables est développée à partir d’une grammaire en lieu et place d’une syntaxe par option. Cela autorise un langage plus proche de l’humain :

# nft add rule filter input...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous