{{tag>netadmin réseau sécurité nft firewall netfilter }}

:TODO_DOCUPDATE:

====== NFT : Modifier la stratégie par défaut d'un chaîne préexistante ======

Une chaîne de type "filter"  peut avoir  

<code bash>
nft list ruleset
table ip filter {
        chain input {
                comment "Filtrage des paquets entrants"
                type filter hook input priority filter; policy accept;
                ct state established accept
                ct state new tcp dport 22 counter packets 1 bytes 60 log prefix "[ACCEPT]" accept
        }
}
</code>

Dans cet exemple la chaîne "input" a une stratégie par défaut définie en "accept". Il est possible de redéfinir la stratégie d'une chaîne de base sans écraser son contenu. Il n'y a pas de mot clé spécifique pour cette opération : on utilise la commande **add**:
  
<code bash>
nft add chain ip filter input '{policy drop;}'
</code>

Si on affiche à nouveau le ruleset on peut constater que la stratégie de la chaîne a bien été modifiée:
<code bash>
nft list ruleset
table ip filter {
        chain input {
                comment "Filtrage des paquets entrants"
                type filter hook input priority filter; policy drop;
                ct state established accept
                ct state new tcp dport 22 counter packets 1 bytes 60 log prefix "[ACCEPT]" accept
        }
}

</code>

===== Références =====

  * https://serverfault.com/questions/1026644/change-policy-with-nftables-on-command-line
  * https://wiki.nftables.org/wiki-nftables/index.php/Configuring_chains