Exemple de configuration initiale du filtrage pour une machine sous Debian sans routage de paquets
#!/usr/sbin/nft -f flush ruleset define DEBIAN_UPDATE_SERVERS = { 199.232.170.132, # debian.map.fastlydns.net 151.101.2.132, # security.debian.org 193.55.175.161 # debian.univ-tlse2.fr } define DEBIAN_NTP_SERVERS = { 51.38.81.135, # 0.debian.pool.ntp.org 51.38.113.118, 51.68.180.114, 194.57.169.1 } table ip ipfilter { comment "Firewall" set resolvers { type ipv4_addr comment "Resolveurs DNS de confiance" elements = { 8.8.8.8, 8.8.4.4 } } set managers { type ipv4_addr comment "Administrateurs systeme et reseau" elements = { 192.168.0.12, 192.168.1.33, 192.168.0.123 } } set update_servers { type ipv4_addr comment "Serveurs de mises a jour systeme et applications" elements = { $DEBIAN_UPDATE_SERVERS } } set ntp_servers { type ipv4_addr comment "Serveurs de synchronisation du temps" elements = { $DEBIAN_NTP_SERVERS } } chain inbound { comment "Filtrage des paquets entrants" type filter hook input priority filter; policy drop; # Suppression des paquets non conformes ct state invalid counter drop # Accepte tous paquets en lien avec un trafic explicitement autorisé ct state established, related counter accept # Pas de restriction sur le trafic entrant sur la boucle locale iif "lo" counter accept comment "Accepte le trafic local sur l'interface loopback" # Supprime les nombreuses sollicitations netbios sans journalisation iif "lan0" udp dport {137, 138 } ip daddr 192.9.200.255 counter drop comment "Elimine les paquets netbios" # # Supprime les nombreuses sollicitations multicast DNS iif "lan0" udp dport 5353 ip daddr 224.0.0.251 counter drop comment "Elimine les paquets mDNS" # Les hotes du groupe "managers" sont autorisés a se connecter en SSH iif "lan0" ct state new tcp dport 22 ip saddr @managers log level notice prefix "[FW] [ACCEPT] [RID=16] " counter accept comment "Accepte les connexions SSH pour les membres de managers" # Accepte mais limite les requête echo ICMP icmp type echo-request limit rate 5/second log prefix "[FW] [ACCEPT] [RID=17] " level notice counter accept comment "Autorise ICMP echo entrant" # Tout trafic entrant non explicitement autorisé est journalisé et rejeté log prefix "[FW] [REJECT] [RID=666] " counter packets 0 bytes 0 reject comment "Rejette tout trafic entrant non explicitement autorise" } chain outbound { comment "Filtrage des paquets sortants" type filter hook output priority filter; policy drop; # Accepte tous les paquets en lien avec un trafic explicitement autorisé ct state established,related counter accept comment "Accepte tout paquet en lien avec le trafic autorise" # Pas de restriction concernant le trafic sortant par la boucle locale oif "lo" counter accept comment "Accepte le trafic local sur l'interface loopback" # Accepte et journalise les requêtes DNS à destination des résolveurs de confiance ct state new ip daddr @resolvers udp dport 53 log prefix "[FW] [ACCEPT] [RID=28] " level notice counter accept comment "Autorise trafic DNS vers resolveurs de confiance" ct state new ip daddr @resolvers tcp dport 53 log prefix "[FW] [ACCEPT] [RID=26] " level notice counter accept comment "Autorise trafic DNS vers resolveurs de confiance" # Accepte et journalise le trafic a destination des serveurs de mise à jour système ct state new ip daddr @update_servers tcp dport { 80, 443 } log prefix "[FW] [ACCEPT] [RID=32] " level notice counter accept comment "Autorise le trafic Web a destination des serveurs de mise a jour" # Autorise le trafic NTP vers serveurs NTP de confiance ct state new ip daddr @ntp_servers udp dport 123 log prefix "[FW] [ACCEPT] [RID=55] " level notice counter accept comment "Autorise NTP vers serveur mairie" # Autorise client DHCP (DHCPDISCOVER) pour autc-configuration des interfaces locales #ct state new udp dport 67 counter accept comment "Autorise trafic DHCP" # Accepte mais limite les requête echo ICMP sortantes icmp type echo-request limit rate 5/second log prefix "[FW] [ACCCEPT] [RID=61] " level notice counter accept comment "Autorise ICMP echo sortant" # Tout trafic sortant non explicitement autorisé est journalisé et rejeté log prefix "[FW] [REJECT] [RID=667] " counter packets 0 bytes 0 reject comment "Rejette tout trafic sortant non explicitement autorise" } chain forward { type filter hook forward priority filter; policy drop; # Transmets tout paquet en relation avec un trafic explicitement autorisé en forwarding ct state established,related counter accept comment "Transfert les trafics des connexions explicitement autorisees" # Journalise et rejette tout transfert non explicitement autorisé log prefix "[FW] [REJECT] [RID=668] " counter reject comment "Refuse toute transmission non explicitement autorisee" } }