nftables est le successeur d'iptables. Il est intégré aux noyaux >= 3.13 depuis 2014. Les distributions récentes fournissent par défaut nftables et sauf spécificité il est recommandé de migrer vers nftable.

Principales différences:

• iptables certaines tables sont présentes par défaut, ce n'est pas le cas pour nftables;
• iptables ne permet de définir qu'une cible par règle. Avec nftables plusieurs actions peuvent être associées à une règle;
• nftables inclus la gestion des ensembles (sets).
• le framework iptables proposait des outils dédiés par familles de protocoles (iptables,ip6tables, arptables,ebtables). ntables permet de gérer les différentes famille au sein d'un même CLI.

nft est la CLI permettant de définir les règles. Elle interprète les caractères spéciaux tels que l'accolade ou le point virgule également utilisés par le shell. Si nft est appelé depuis le bash il faudra donc échapper les caractères spéciaux.

On peut également invoquer nft en mode interactif via l'option -i. En fonctionnant dans ce mode il devient inutile d'échapper les caractère spéciaux.

nft --handle --interactive
 
# équivalents
nft -a -i
 
nft -ai

Dans l'exemple ci-dessus on introduit également l'option --handle ou -a. Un handle (contrôleur) est un identifiant numérique associé à chaque élément de configuration. il peut être affiché grâce à cette option puis réutilisés par différentes commandes pour désigné de facon sure et concise l'élément a manipuler.

# nft depuis le bash :  les caractères spéciaux doivent être échappés
nft 'add chain ip my_iptable input_chain { type filter hook input priority 0 ; policy drop ; comment "text comment" ;}'

Les modifications apportées depuis nft s'appliquent immédiatement mais ne seront pas sauvegardées après redémarrage. Comme beaucoup d'autre outils réseau il fonctionne en système transitoire (ou transiant).

Le ruleset désigne l'ensemble des éléments de configuration existants. Des opérations peuvent être appliquées sur l'ensemble de la configuration comme:

# Sauvegarder/exporter le ruleset dans le fichier "my_ruleset.nft"
nft list ruleset > my_ruleset.nft
 
# Effacer le ruleset courant
nft flush ruleset
 
# Recharger un ruleset depuis le fichier "my_ruleset.nft"
nft -f my_ruleset.nft

Les tables sont des conteneurs. On y trouve les chaînes, les ensembles et les objets à état (compteurs, quotas, limites). L'état désactivé (flag 'dormant') peut être positionné sur une table: dans ce cas les chaînes de base sont déchargées et ne sont plus évaluées.

Pour lister les tables existantes:

# nft list tables
 
# On peut choisir de lister les tables d'une famille en particulier
nft list tables bridge
nft list tables inet
nft list tables ip

Pour lister le contenu d'une table

nft list table aTableName
 
# La famille peut être précisée en préfixe
nft list ip aTableName
nft list ip6 aTableName
nft list inet aTableName
nft list arp aTableName
nft list bridge aTableName
nft list netdev aTableName

Création d'une table “myTable” pour la famille ipv4.

add table ip myTable { flags dormant; comment "Basic firewall"; }

delete table ip myTable

# Suppression de la table via son identifiant
delete table handle 2

On positionne le drapeau dormant pour désactiver la table via la commande add:

add table aTableName { flags dormant; }
 
# La famille peut être précisée
add table ip6 aTableName { flags dormant; }

Les chaînes contiennent les séquences de règles. On distingue les chaînes de base et les chaines normales (regular):

• Un chaîne de base est un point d'entrée pour les paquets en provenance de la pile réseau. L'association au point d'entrée se fait via un système de hook);
• Une chaîne normale peut être utilisée comme cible par un saut (jump) elle permet notamment de regrouper et d'organiser un sous ensemble de règles.

add chain aTableName inbound { type filter hook input priority 0; comment "Filtrage du trafic entrant"; }

La chaîne est contenue dans une table. Lors de la création d'une chaîne de base les attributs type, hook et priority sont obligatoirement définis:

# Création d'une chaîne de base anInputBaseChain dans la table aTable
# commande saisie en mode interactif
create chain ip aTable anInputBaseChain { type filter hook input priority 0; policy drop; comment "a useful remark"; }

Ajouter une nouvelle règle dans une chaine avec la syntaxe suivante :

Remplacer une règle existante toujours via le handler :

# On remplace la règle de la chaine "inbound" dans la table "ipfilter"
# désignée par le handler 21 par la définition qui suit

replace rule ipfilter inbound handle 21 iif lo counter accept comment "Accepte le trafic local sur l'interface loopback"

Pour inserer une règle on s'appuie sur le handler et l'argument “position” :

# Insertion d'une règle dns la chaine "outbound" de la table "ipfilter"
# au niveau du handler 12

insert rule ipfilter outbound position 12 oif lo ct state established,related counter accept comment "Accepte tout paquet en lien avec un trafic sortant explicitement autorise sur la boucle locale"

Supprimer la règle désignée par le contrôleur 5 (handler) :

# Supprime la règle de la chaine "aChain" dans la table "aTable"
# identifiée par le handle 5

delete rule aTable aChain handle 5

Les règles peuvent intégrer des critères de sélection des interfaces

Source : Différence entre iifname et iif (serverfault.com)

Une petite précision sur les états des connexions TCP disponibles via ct (conntrack), il en existe 5 :

• NEW : Il s'agit des premiers paquets d'une connexion (Exemple : premier paquet TCP SYN d'une connexion TCP).
• ESTABLISHED : Echange de paquet dans les deux sens, la connexion est dite “établie”.
• RELATED : Connexion qui se réfère d'une connexion ESTABLISHED et créé par elle (Exemple, une connexion FTP-DATA après une authentification correcte via le protocole FTP).
• INVALID : Paquet sans état et ne pouvant être rattaché à une connexion déjà connue, à dropper.
• UNTRACKED : Paquet ne faisant pas partie d'une connexion connue.

Voir la note Gestion des ensembles avec nftables.

Les objets de type counter et quota sont déclarés dans les tables et peuvent être utilisés par les règles dans les chaînes.

icmp type echo-request

Les valeurs possibles pour level correspondent aux niveau de syslog : emerg, alert, crit, err, warn (valeur par défault), notice, info, debug

Comme pour les ensembles ou les compteurs, on distingue les limites anonymes et les limites nommées.

Dans l'exemple ci-dessous on crée une limite nommée “limit_10ppm” dans la table “aTable”

add limit aTable limit_10ppm { rate 10/minute ; comment "Limitation du trafic a 10 paquets par minute" }

La limite nommée peut ensuite être utilisée par une ou plusieurs règles. Dans l'exemple ci-dessous on crée une règle dans la chaîne “inboundBaseChain” autorisant les requêtes ICMP entrantes dans la limite de 10 paquets par minutes:

add rule aTable inboundBaseChain icmp type echo-request limit name "limit_10ppm" accept comment "Autorisation limitee du ping"

Suppression de la limite

# Supprimer la limite par son label
delete limit aTable limit_10ppm

# Supprimer la limite via son identifiant
delete limit aTable handle 1

Sur les distributions récentes basées sur systemd, le service existe mais il n'est pas activé par défaut :

systemctl status nftables.service 
○ nftables.service - nftables
     Loaded: loaded (/lib/systemd/system/nftables.service; disabled; preset: enabled)
     Active: inactive (dead)
       Docs: man:nft(8)
             http://wiki.nftables.org

Activer le service nftables.service :

systemctl enable --now nftables.service

Le ruleset /etc/nftables.conf utilisé par défaut par le service est vide, il faudra définir vos règles.

# Lance netfilter en mode interactif
nft -ai
 
# création d'une table pour filtrage du trafic IP
# La table est désactivée
add table ip ipfilter { flag dormant; }
 
# Création de compteurs nommés
add counter ipfilter rejected_pkts
add counter ipfilter accepted_pkts
 
add chain ipfilter incoming { type filter hook input priority 0; policy drop; comment "Filtrage des paquets entrants" ; }
 
# Rejette et journalise le trafic non explicitement autorisé
add rule ipfilter incoming iif lan counter name rejected_pkts log prefix "[REJECT]" level notice reject with icmp type port-unreachable comment "Rejet de tout trafic entrant non explicitement autorisé"
 
# rejet et journalise le trafic non autorisé
 
add chain ipfilter outgoing { type filter hook output priority 0; policy drop; comment "Filtrage des paquets sortants"; }
 
add rule ipfilter outgoing oif lan counter name rejected_pkts log prefix "[REJECT]" level notice reject with icmp type port-unreachable comment "Rejet de tout trafic sortant non explicitement autorisé"
 
# Activer la table
add table ip ipfilter

• https://nftables.org/
• https://wiki.nftables.org/wiki-nftables/index.php/Rejecting_traffic
• https://www.linuxembedded.fr/2022/06/introduction-a-nftables
• tutoriel netfilter nftables (debugo.fr)
• https://wiki.csnu.org/index.php/Nftables
• https://www.youtube.com/watch?v=EGKhIljDPCw
• Journalisation du trafic (nftables.org)
• guide d'utilisation de nftables (archlinux.org)
• Fonctionnement de conntrack