Sécuriser IPv6 avec nftables : exemple de configuration

Publié le 2 juillet 2025

Sécurité
Réseau
Firewall

nftables remplace iptables en offrant une syntaxe plus moderne et performante. Voici une configuration de base pour sécuriser le trafic IPv6.

Prérequis

  • Linux avec nftables (Debian/Ubuntu: sudo apt install nftables)

1. Structure de base

Créez /etc/nftables.conf :

#!/usr/sbin/nft -f

table inet filter {
    chain input {
        type filter hook input priority 0;
        policy drop;

        # loopback
        iif lo accept

        # established
        ct state established,related accept

        # ICMPv6
        ip6 nexthdr icmpv6 accept

        # SSH (exemple)
        tcp dport 22 ct state new accept

        # HTTP/HTTPS
        tcp dport {80,443} ct state new accept
    }

    chain forward {
        type filter hook forward priority 0;
        policy drop;
    }

    chain output {
        type filter hook output priority 0;
        policy accept;
    }
}

2. Activer nftables

sudo systemctl enable --now nftables

3. Vérifier les règles

sudo nft list ruleset

4. Bonnes pratiques

  • Bloquer tout par défaut, n’ouvrir que le nécessaire.
  • Surveiller le journal :
    counter log prefix "nftables: " accept
    
  • Mettre à jour les règles selon évolution du service.

Conclusion

Avec nftables et IPv6, vous obtenez un firewall moderne, performant et sécurisé, adapté aux besoins actuels.

Besoin d'aide sur ce sujet ?

Notre équipe d'experts est là pour vous accompagner dans vos projets.

Contactez-nous

Articles similaires qui pourraient vous intéresser