{{tag>netadmin sysadmin nft icmp nftables}}


====== nftables : autoriser les requêtes echo ICMP ======

Pour autoriser les requêtes ICMP echo entrantes, ajouter la règle suivante sur la chaîne de base de filtrage du trafic entrant :

<code>
icmp type echo-request accept
</code>

Souvent on limite le trafic sur ce type de requêtes :

<code >
icmp type echo-request limit rate 5/second accept comment "Autorise ICMP echo"
</code>

Selon votre politique de filtrage du trafic sortant, il faudra également autoriser les réponses ICMP (echo-reply). Pour nftables le type icmp est une valeur entière :


^ Valeur ^  Description            |
^ 0      | Echo Reply              |
^ 3      | Destination Unreachable |
^ 10     | Router Solicitation     |
^ 11     | Time Exceeded           |
^ 12     | Parameter Problem       |
^ 14     | Timestamp Reply         |


<code>
icmp type echo-reply limit counter accept comment "Autorise ICMP echo-reply"
icmp type destination-unreachable counter accept comment "Autorise rejet ICMP"
</code>
 
===== Références =====

  * [[https://wiki.nftables.org/wiki-nftables/index.php/Simple_ruleset_for_a_server|ruleset elementaire pour serveur (nftables.org)]]
  * [[https://unix.stackexchange.com/questions/774201/declare-and-use-a-named-set-of-icmp-types-in-nftables|Utiliser les types ICMP avec nftables (stackexchange.com)]]