Nftables : Erreur SSH

NicolasDev · Novembre 19, 2021, 11:40pm

Salut !

J’ai un problème avec mon fichier /etc/nftables.conf
Après avoir redémarrer le service Nftables, je n’arrive plus à accéder à mon serveur en SSH.
Je suis sur un Debian 11 mis à jour avant la configuration du pare-feu.

Il y a bien les ; après chaque règles.
J’empêche tous les paquets sauf ceux que j’autorise (loopback, dns, ping, http, https, ssh)
3229 = ssh (port modifié dans /etc/ssh/sshd_config, service ssh redémarrer avant la config du pare-feu)

table ip filter {
        chain input {
		type filter hook input priority 0;
                ct state established,related accept;
                iifname lo accept;
                ip protocol icmp accept;
                tcp dport 3229 accept;
                tcp dport {80, 443, 3306} accept;

		policy drop;
        }

        chain forward {
		type filter hook input priority 0; policy drop;
        }

        chain output {
		type filter hook input priority 0;
                ct state established,related accept;
                oifname "lo" accept;
		udp dport 53 accept;
		tcp dport {80, 443} accept;

		policy drop;
        }
}

table ip6 filter {
	chain input {
		type filter hook input priority 0; policy drop;
	}

	chain forward {
		type filter hook input priority 0; policy drop;
	}

	chain output {
		type filter hook input priority 0; policy drop;
	}
}

Merci pour vos réponses

PascalHambourg · Novembre 20, 2021, 7:41am

C’est normal, ça ?

NicolasDev · Novembre 20, 2021, 4:50pm

A l’installation du paquet Nftables, dans le fichier /etc/nftables.conf, il y a cette configuration par défaut type filter hook input priority 0; sur input, forward, output

PascalHambourg · Novembre 20, 2021, 5:48pm

Ce n’est pas ce que je constate dans le fichier nftables.conf par défaut : la chaîne forward est attachée au hook forward et la chaîne output est attachée au hook output.

NicolasDev · Novembre 20, 2021, 5:48pm

Ha ouai
Je suis débutant avec Nftables.
Merci

PascalHambourg · Novembre 20, 2021, 6:31pm

Quel rapport avec la configuration par défaut de nftables ?

NicolasDev · Novembre 20, 2021, 6:45pm

Bah quand on installe Nftables, j’ouvre le fichier Nftables.conf
Et il y a
type filter hook input priority 0; pour la chaîne input

J’ai dû copier coller ce code pour chaque chain.

PascalHambourg · Novembre 20, 2021, 7:17pm

Quelle drôle d’idée. Pourquoi avoir recréé les chaînes alors qu’elles existaient déjà ?

NicolasDev · Novembre 20, 2021, 7:31pm

Je sais pas, j’ai refais un fichier Nftables.conf de zéro pour m’entraîner