wikinotes

Outils pour utilisateurs

Outils du site

Piste : modifier_taille_unite_allocation_systeme_fichier executer-un-programme-comme-service probleme_conversion_texte_vers_image bureau-distant-via-rdp erreur-execution-ping 220_visualiser_fichiers variables timesyncd_refuse_ntp_via_dhcp problemes-divers configuration_minimale
netadmin:nftables:gestion_des_ensembles

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
netadmin:nftables:gestion_des_ensembles [2023/03/21 17:43] – créée yoannnetadmin:nftables:gestion_des_ensembles [2024/10/28 10:43] (Version actuelle) yoann
Ligne 1: Ligne 1:
-{{tag>linux netadmin sysadmin réseau netfilter nft set}}+{{tag>linux netadmin sysadmin réseau netfilter nft set ipset}}
  
-:TODO_DOCUPDATE: 
  
 ====== nft : gestion des ensembles (sets) ====== ====== nft : gestion des ensembles (sets) ======
Ligne 11: Ligne 10:
  
 # L'ensemble utilisé dans cet règle est anonyme et ne pourra pas être modifié # L'ensemble utilisé dans cet règle est anonyme et ne pourra pas être modifié
-add rule +nft> add rule 
 </code> </code>
  
Ligne 17: Ligne 16:
  
 <code> <code>
-add set filter resolveurs { type ipv4_addr; comment "Resolveurs DNS de confiance";}+nft> add set filter resolveurs { type ipv4_addr; comment "Resolveurs DNS de confiance";}
  
 # Ajout des éléments à l'ensemble # Ajout des éléments à l'ensemble
-add element filter resolveurs { 192.9.200.8,192.9.200.231} +nft> add element filter resolveurs { 192.9.200.8,192.9.200.231} 
-add element ip filter resolveurs {208.67.220.220,208.67.222.222}+nft> add element ip filter resolveurs {208.67.220.220,208.67.222.222}
 </code> </code>
  
Ligne 27: Ligne 26:
  
 <code> <code>
-add rule filter output ct state new ip daddr @resolveurs tcp dport 53 counter accept comment "Autorise DNS vers resolveurs de confiance"+nft> add rule filter output ct state new ip daddr @resolveurs tcp dport 53 counter accept comment "Autorise DNS vers resolveurs de confiance"
 </code> </code>
  
Ligne 42: Ligne 41:
 nft list set filter resolveurs nft list set filter resolveurs
 </code> </code>
 +
 +
 +===== Peupler l'ensemble avec des FQDN =====
 +
 +
 +Il est possible de peupler un ensemble en indiquant un FQDN plutôt qu'une adresse IP
 +
 +<code>
 +nft> add set aTable aSet { type ipv4_addr ; timeout 24h ;}
 +nft> add element aTable aSet { "server.domain.tld" }
 +</code>
 +
 +
 +Sources :
 +  * https://serverfault.com/questions/963665/how-should-nftables-rules-using-hostnames-be-rewritten-to-deal-with-multiple-add
 +  * https://forum.openwrt.org/t/nftables-filtering-traffic-at-ip-addresses-level-based-on-relevant-domain-name/126182
netadmin/nftables/gestion_des_ensembles.1679420595.txt.gz · Dernière modification : 2023/03/21 17:43 de yoann

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki