Iptables - nftables folies

Soumis par drupal_admin le ven 25/12/2020 - 21:15

Iptables / nftables : transparence ?

J’ai un pare-feu assez complexe comportant essentiellement des règles IPSET classées en deux catégories principales :

  • Règles générales sur les IP à refuser provenant de « blacklists » et règles des IP détectées localement comme nuisibles ou risquées.
  • Règles spécifiques de gestion des ports pour n’accepter que des ports utilisés pas des services définis.

Cela fait un certain temps que je veux migrer, en gardant ses fonctionnalités essentielles, ce pare-feu de iptables vers nftables, mais le manque de temps m’en en a empêché jusqu’ici.
La plupart des distributions migrent depuis quelques temps de iptables vers nftables de manière « transparente » mais la transparence ne semble pas correcte dans tous les cas.
A l’occasion de mises à jour du système mon pare-feu s’est transformé en un blocage complet de toutes les adresses internes de mon réseau (192.168.a.b), c'estdu moins ce que j’ai constaté, il y avait peur-être aussi d’autres bizarreries … que je n'ai pas eu le temps de repérer. Le machine pare-feu n’arrivait même pas à joindre la box internet en 192.168.A.B, ni d’ailleurs les autres machines de mon réseau interne alors même que le reste du réseau interne fonctionnait normalement.

Après quelques recherches je suis tombé sur des redirections (alternatives Debian) qui «transforment » iptables en iptables-legacy et nft en iptables. Il semble que, au moins dans mon cas, les règles liées à des IPSET étaient mal traduites ou mal interprétées conduisant à cette situation ubuesque.
Après avoir supprimé les « alternatives » nuisibles tout s’est remis à fonctionner normalement.
Il faudra quand même que je migre ce pare-feu vers nfables avant la fin du support de iptables.

 

taxonomie