Outils pour utilisateurs

Outils du site


netadmin:nftables:modifier_chain_policy

:TODO_DOCUPDATE:

NFT : Modifier la stratégie par défaut d'un chaîne préexistante

Une chaîne de type “filter” peut avoir

nft list ruleset
table ip filter {
        chain input {
                comment "Filtrage des paquets entrants"
                type filter hook input priority filter; policy accept;
                ct state established accept
                ct state new tcp dport 22 counter packets 1 bytes 60 log prefix "[ACCEPT]" accept
        }
}

Dans cet exemple la chaîne “input” a une stratégie par défaut définie en “accept”. Il est possible de redéfinir la stratégie d'une chaîne de base sans écraser son contenu. Il n'y a pas de mot clé spécifique pour cette opération : on utilise la commande add:

nft add chain ip filter input '{policy drop;}'

Si on affiche à nouveau le ruleset on peut constater que la stratégie de la chaîne a bien été modifiée:

nft list ruleset
table ip filter {
        chain input {
                comment "Filtrage des paquets entrants"
                type filter hook input priority filter; policy drop;
                ct state established accept
                ct state new tcp dport 22 counter packets 1 bytes 60 log prefix "[ACCEPT]" accept
        }
}

Références

netadmin/nftables/modifier_chain_policy.txt · Dernière modification : 2023/03/20 15:31 de yoann