Discussion :

[olivbarb]

Bonjour,


Voici mon fichier nftables

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
# configuration de nftables
#!/bin/bash
 
# ---------- suppression de toutes les regles ----------
nft flush ruleset
 
# ---------- ip6V4 ----------
# creation de la table ipV4V6
nft add table inet filtre_ipV4_V6
 
# En entree ----------
# creation des chaines
nft add chain inet filtre_ipV4_V6 entree_V4_V6 {type filter hook input priority 0 \;}
 
# creation des regles
#*blocage de ce qui est invalide
nft add rule inet filtre_ipV4_V6 entree_V4_V6 ct state invalid drop
 
# on autorise les connexions déjà initiées
nft add rule inet filtre_ipV4_V6 entree_V4_V6 ct state established,related accept
 
# on autorise les ping vers une autre machine
nft add rule inet filtre_ipV4_V6 entree_V4_V6 icmp type echo-reply accept
nft add rule inet filtre_ipV4_V6 entree_V4_V6 icmpv6 type echo-reply accept
 
# on bloque le reste
nft add rule inet filtre_ipV4_V6 entree_V4_V6 drop
 
 
# En sortie ----------
# creation des chaines en sortie
nft add chain inet filtre_ipV4_V6 sortie_V4_V6 {type filter hook output priority 0 \;}
 
# creation des regles
# on autorise le DNS
nft add rule inet filtre_ipV4_V6 sortie_V4_V6 tcp dport 53 accept
 
#*on autorise le http et le https
nft add rule inet filtre_ipV4_V6 sortie_V4_V6 tcp dport 80 accept
nft add rule inet filtre_ipV4_V6 sortie_V4_V6 tcp dport 443 accept
 
# on autorise le dhcp
nft add rule inet filtre_ipV4_V6 sortie_V4_V6 tcp dport 67 accept
 
# on autorise les réponses des machines pinguees
nft add rule inet filtre_ipV4_V6 sortie_V4_V6 icmp type echo-request accept
nft add rule inet filtre_ipV4_V6 sortie_V4_V6 icmpv6 type echo-request accept
 
# on bloque le reste
nft add rule ine filtre_ipV4_V6 sortie_V4_V6 drop

Le problème est que je n'ai pas accès à internet mais si j'enlève la ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

nft add rule ine filtre_ipV4_V6 sortie_V4_V6 drop

je n'ai plus de problème.

Qu'ai-je oublié d'autoriser ?

Merci

[binarygirl]

Le problème est que je n'ai pas accès à internet mais si j'enlève la ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

nft add rule ine filtre_ipV4_V6 sortie_V4_V6 drop

je n'ai plus de problème.

J'ai pas testé le truc, mais il y a un typo: vous auriez du écrire inet. Une fois cela corrigé, peut-être que ça marchera (ou pas... mais ce sera un autre problème).