#!/usr/sbin/nft -f flush ruleset table ip ipfilter { comment "Firewall" ct helper ftp-standard { type "ftp" protocol tcp l3proto ip } set allowed_ftp_clients { type ipv4_addr comment "Clients FTP identifiés autorisés à utiliser les services" elements = { 192.168.0.123, 192.168.33.10, 192.168.10.1, 172.16.1.33 } } chain PRE { type filter hook prerouting priority filter; policy accept; # L'usage de l'helper est nécessaire pour le fonctionnement # du protocole FTP au travers du pare-feu tcp dport 21 ct helper set "ftp-standard" } chain inbound { comment "Filtrage des paquets entrants" type filter hook input priority filter; policy drop; # Suppression des paquets non conformes ct state invalid counter drop # Accepte tous paquets en lien avec un trafic explicitement autorisé ct state established, related counter accept # Pas de restriction sur le trafic entrant sur la boucle locale iif "lo" counter accept comment "Accepte le trafic local sur l'interface loopback" # Supprime les nombreuses sollicitations netbios sans journalisation iif "lan0" udp dport {137, 138 } ip daddr 192.168.0.255 counter drop comment "Elimine les paquets netbios" # Supprime les nombreuses sollicitations multicast DNS iif "lan0" udp dport 5353 ip daddr 224.0.0.251 counter drop comment "Elimine les paquets mDNS" # Accepte les connexions FTP pour les clients identifiés. Le trafic est ensuite géré par l'helper "ftp" iif "lan0" ip saddr @allowed_ftp_clients tcp dport 21 ct state new log level notice prefix "[FW] [ACCEPT] [RID=18] " counter accept # Accepte mais limite les requête echo ICMP icmp type echo-request limit rate 5/second log prefix "[FW] [ACCEPT] [RID=17] " level notice counter accept comment "Autorise ICMP echo entrant" # Tout trafic entrant non explicitement autorisé est journalisé et rejeté log prefix "[FW] [REJECT] [RID=666] " counter packets 0 bytes 0 reject comment "Rejette tout trafic entrant non explicitement autorise" } chain outbound { comment "Filtrage des paquets sortants" type filter hook output priority filter; policy drop; # Accepte tous les paquets en lien avec un trafic explicitement autorisé ct state established,related counter accept # Pas de restriction concernant le trafic sortant par la boucle locale oif "lo" counter accept comment "Accepte le trafic local sur l'interface loopback" # Accepte mais limite les requête echo ICMP sortantes icmp type echo-request limit rate 5/second log prefix "[FW] [ACCCEPT] [RID=61] " level notice counter accept comment "Autorise ICMP echo sortant" # Tout trafic sortant non explicitement autorisé est journalisé et rejeté log prefix "[FW] [REJECT] [RID=667] " counter packets 0 bytes 0 reject comment "Rejette tout trafic sortant non explicitement autorise" } chain forward { type filter hook forward priority filter; policy drop; # Transmets tout paquet en relation avec un trafic explicitement autorisé en forwarding ct state established,related counter accept comment "Transfert les trafics des connexions explicitement autorisees" # Journalise et rejette tout transfert non explicitement autorisé log prefix "[FW] [REJECT] [RID=668] " counter reject comment "Refuse toute transmission non explicitement autorisee" } }