Re: question nftables...

François Patte <francois.patte@mi.parisdescartes.fr> écrivait :

Bonjour,
>
Je cherche a utiliser nftables (puisqu'il paraît que c'est le successeur
d'iptables...).
>
J'arrive à configurer un parefeu mais je n'arrive pas à voir les résultats.
>
1- Il me manque l'équivalent de iptables -L pour voir la configuration globale
du parefeu.

sudo nft list ruleset
Il y a des options pour voir le numéro des règles etc.

2- j'utilise fail2ban pour mettre des protections (ssh, http etc.) et, si
certaines prisons (jails) fonctionnent, d'autres, bien que fail2ban me dise que
des IP sont bannies, ne fonctionnent pas c-à-d: je teste un filtre fail2ban,
fail2ban me dit l'IP que j'utilise est bannie, mais en fait elle n'est
absolument pas bannie... (ie. je peux continuer à utiliser cette IP pour
attaquer mon serveur)
>
Où et comment puis-je voir que nftables bloque des IP?  Dans les fichiers qui
dépendent de fail2ban (fail2ban-client status ma_prison me montre les IP bannies
mais nftables les laissent passer sans problème)
>
Merci de m'éclairer...

Là je ne connais pas trop fail2ban, mais il faut voir les docs de
fail2ban pour son intégration avec nft. Il y a des chances que ça passe
par un set que fail2ban met à jour et qu'il faille mettre une règle
disant de bloquer les adresses présentes dans ce set.


--
Les simplifications c'est trop compliqué