nftables remplace iptables en offrant une syntaxe plus moderne et performante. Voici une configuration de base pour sécuriser le trafic IPv6.
Prérequis
- Linux avec nftables (Debian/Ubuntu:
sudo apt install nftables
)
1. Structure de base
Créez /etc/nftables.conf
:
#!/usr/sbin/nft -f
table inet filter {
chain input {
type filter hook input priority 0;
policy drop;
# loopback
iif lo accept
# established
ct state established,related accept
# ICMPv6
ip6 nexthdr icmpv6 accept
# SSH (exemple)
tcp dport 22 ct state new accept
# HTTP/HTTPS
tcp dport {80,443} ct state new accept
}
chain forward {
type filter hook forward priority 0;
policy drop;
}
chain output {
type filter hook output priority 0;
policy accept;
}
}
2. Activer nftables
sudo systemctl enable --now nftables
3. Vérifier les règles
sudo nft list ruleset
4. Bonnes pratiques
- Bloquer tout par défaut, n’ouvrir que le nécessaire.
- Surveiller le journal :
counter log prefix "nftables: " accept
- Mettre à jour les règles selon évolution du service.
Conclusion
Avec nftables et IPv6, vous obtenez un firewall moderne, performant et sécurisé, adapté aux besoins actuels.