On dim., 2025-11-23 at 10:10 +0100, Michel Verdier wrote:
> Le 23 novembre 2025 jean-christophe Énée a écrit :
>
> > jean-christophe@blues-softwares:~$ cat /etc/nftables.conf
> > #!/usr/bin/nft -f
>
> /etc/nftables.conf est chargé au boot par nft -f donc tu peux retirer
> le
> shebang. Le mieux c'est de mettre ton /etc/nftables.conf dans un
> fichier
> de travail, le tester, et quand il est bon mettre dans
> /etc/nftables.conf
> le résultat de
>
> nft list ruleset
>
> et en ajoutant flush ruleset au début
> Ça te permet de revenir à une version stable à chaque reboot.
>
> > #**************************************************
> > define iface = wlp2f0 # <=== change
> > #**************************************************
> >
> > # start fresh
> > flush ruleset
>
> flush ruleset doit être mis au tout début, notamment *avant* ton
> define
> que bien sûr là il écrase
>
> Quelques remarques :
>
> - les hooks input et output ne sont pas spécifiques à une interface,
> tu
> peux simplifier tes règles qui seront du coup moins casse-gueule
>
> - utilise reject plutôt que drop, tes clients te donneront peut-être
> des
> infos
>
> - avant les reject/drop mets un log ou un counter, par exemple
>
> tcp flags & (fin|syn|rst|ack) != syn ct state new counter drop
> ou
> tcp flags & (fin|syn|rst|ack) != syn ct state new log level warn
> prefix "[FW drop invalid] " drop
>
> les logs te donneront directement la ligne qui bloque tes requêtes
> et pour ça n'utilise pas vmap mais mets des lignes distinctes
>
> - les set c'est bien pour faire du dynamique ou du copieux, pour du
> statique et du petit autant faire des define comme tu l'as fait avec
> iface, par exemple
>
> services = { 2049, 6000-6015, 135, 137-139, 445, 161-162, 69, 514,
> 67-68, 6660-6669 }
>
> puis faire des règles qui utilisent les define, ce sera plus clair
> mais bon à toi de voir
>
> > include "/etc/nftables.d/input-blocks"
>
> Je suppose que là dedans tu as aussi des trucs ?
> Plutôt que lister tes scripts, donne le résultat de
>
> nft list ruleset
>
> Et d'ailleurs utilise cette commande pour analyser ce que ton script
> charge réellement, ça t'aurait par exemple montré que ton define du
> début
> saute
ok tu peux me paste le script s'il te plaît ?
JC
