Re: Mise à jour protégée par un pare-feu avec nftables
Le 01/06/2024 à 14:00, Marc Chantreux a écrit : [...] n'est-ce pas sur debian-devel-french (lists.debian.org) qu'il faut avoir ce genre de discussions (eventuellement pour suggérer des modifications?) Comme c'est une doc en français traduite de l'anglais, Je pencherais plutôt pour debian-doc (liste anglophone)?
Re: Mise à jour protégée par un pare-feu avec nftables
Le 01/06/2024 à 14:03, Marc Chantreux a écrit : [...]peux-tu expliquer l'interet d'un outils supplémentaire ? Me simplifier la vie
Re: Mise à jour protégée par un pare-feu avec nftables
hello, On Sat, Jun 01, 2024 at 11:41:58AM +0200, NoSpam wrote: > j'ai développé sfw, firewall basé sur nftables si cela intéresse > https://framagit.org/tootai/sfw un des gros avantages de nttables à mes yeux est la grande lisibilité et simplicité de son fichier de conf. (une fois qu'on a bien compris l'histoire des différents hooks). peux-tu expliquer l'interet d'un outils supplémentaire ? a+ -- Marc Chantreux Pôle CESAR (Calcul et services avancés à la recherche) Université de Strasbourg 14 rue René Descartes, BP 80010, 67084 STRASBOURG CEDEX 03.68.85.60.79
Re: Mise à jour protégée par un pare-feu avec nftables
hello, On Sat, Jun 01, 2024 at 10:25:13AM +0200, didier gaumet wrote: > > https://www.debian.org/doc/manuals/securing-debian-manual/fw-security-update.fr.html je viens de jeter un coup d'oeil et sans être un expert réseau mais je vois aussi que la doc sur le pont n'est pas passé à iproute2. je vais dire une connerie mais n'est-ce pas sur debian-devel-french (lists.debian.org) qu'il faut avoir ce genre de discussions (eventuellement pour suggérer des modifications?) -- Marc Chantreux Pôle CESAR (Calcul et services avancés à la recherche) Université de Strasbourg 14 rue René Descartes, BP 80010, 67084 STRASBOURG CEDEX 03.68.85.60.79
Re: Mise à jour protégée par un pare-feu avec nftables
Bonjour j'ai développé sfw, firewall basé sur nftables si cela intéresse https://framagit.org/tootai/sfw Le 31/05/2024 à 22:35, firenze...@orange.fr a écrit : Bonjour tout le monde, https://www.debian.org/doc/manuals/securing-debian-manual/fw-security-update.fr.html La page web ci-dessus semble quelque peu obsolète. N'est-ce pas un peu contre-productif d'obliger la réinstallation de iptables sur une Debian bookworm fraîchement installée, alors que nftables est depuis buster le pare-feu par défaut ? Pourquoi ne pas publier également un exemple de configuration de nftables sur cette même page ? Ça arrangerait beaucoup de monde en plus de moi. Qu'est-ce que vous en pensez ? Librement, Firenze
Re: Mise à jour protégée par un pare-feu avec nftables
Le 31/05/2024 à 22:35, firenze...@orange.fr a écrit : Bonjour tout le monde, https://www.debian.org/doc/manuals/securing-debian-manual/fw-security-update.fr.html La page web ci-dessus semble quelque peu obsolète. N'est-ce pas un peu contre-productif d'obliger la réinstallation de iptables sur une Debian bookworm fraîchement installée, alors que nftables est depuis buster le pare-feu par défaut ? Pourquoi ne pas publier également un exemple de configuration de nftables sur cette même page ? Ça arrangerait beaucoup de monde en plus de moi. Qu'est-ce que vous en pensez ? Librement, Firenze Bonjour, (Avertissement: je suis une truffe en réseaux) Je peux ne pas bien évaluer la situation, mais la doc précitée ne me semble pas impliquer la réinstallation d'iptables. nftables peut être piloté par les anciennes commandes iptables (ainsi que ebtables et autres) dans un souci de compatibilité avec l'existant, ou être piloté par le nouvel outil dédié nft avec sa syntaxe incompatible iptables. A priori faut juste se fixer sur une seule méthode de pilotage de nftables (ancien iptables ou ou nouveau nft) pour éviter les soucis (je crois que quelqu'un avait évoqué ses problèmes sur cette liste) les exemples de la doc précitée illustrent juste l'emploi de la syntaxe iptables pour piloter nftables. Alors, ce serait probablement mieux si la doc mentionnait les deux syntaxes (ancien iptables ou nouveau nft) mais je pense que beaucoup de monde utilise encore la syntaxe iptables avec nftables. De temps à autres on voit encore ici des gens qui utilisent d'anciennes commandes SysV via la couche de rétro-compatibilité pour gérer des services Systemd au lieu d'utiliser la commande dédiée systemctl...