Le 23 novembre 2025 jean-christophe Énée a écrit :
> jean-christophe@blues-softwares:~$ cat /etc/nftables.conf
> #!/usr/bin/nft -f
/etc/nftables.conf est chargé au boot par nft -f donc tu peux retirer le
shebang. Le mieux c'est de mettre ton /etc/nftables.conf dans un fichier
de travail, le tester, et quand il est bon mettre dans /etc/nftables.conf
le résultat de
nft list ruleset
et en ajoutant flush ruleset au début
Ça te permet de revenir à une version stable à chaque reboot.
> #**************************************************
> define iface = wlp2f0 # <=== change
> #**************************************************
>
> # start fresh
> flush ruleset
flush ruleset doit être mis au tout début, notamment *avant* ton define
que bien sûr là il écrase
Quelques remarques :
- les hooks input et output ne sont pas spécifiques à une interface, tu
peux simplifier tes règles qui seront du coup moins casse-gueule
- utilise reject plutôt que drop, tes clients te donneront peut-être des
infos
- avant les reject/drop mets un log ou un counter, par exemple
tcp flags & (fin|syn|rst|ack) != syn ct state new counter drop
ou
tcp flags & (fin|syn|rst|ack) != syn ct state new log level warn prefix "[FW
drop invalid] " drop
les logs te donneront directement la ligne qui bloque tes requêtes
et pour ça n'utilise pas vmap mais mets des lignes distinctes
- les set c'est bien pour faire du dynamique ou du copieux, pour du
statique et du petit autant faire des define comme tu l'as fait avec
iface, par exemple
services = { 2049, 6000-6015, 135, 137-139, 445, 161-162, 69, 514, 67-68,
6660-6669 }
puis faire des règles qui utilisent les define, ce sera plus clair
mais bon à toi de voir
> include "/etc/nftables.d/input-blocks"
Je suppose que là dedans tu as aussi des trucs ?
Plutôt que lister tes scripts, donne le résultat de
nft list ruleset
Et d'ailleurs utilise cette commande pour analyser ce que ton script
charge réellement, ça t'aurait par exemple montré que ton define du début
saute
