[nftables Buster] parefeu Orange

jb12 · Décembre 26, 2019, 11:34am

Bonjour,
ce parfeu sous W10 peut-il interdire nftables?
au boot le rectangle est présent puis puis pas de réseau IPv4 wan
architecture:

Livebox fibre 192.168.1.1
|-----------------------------serveur 192.168.1.30 Buster
enp7s0
enp8s0 10.0.0.30 vers un hub parefeu Orange Kaparsky W10 10.0.0.24

d’une manière simpliste, je voudrais que ces 2 machines communiques port 80 343 3306
/etc/nftables.conf refuse!
wireshark voit du traffic sur enp8s0

root@alpha30:/etc/init.d# arp -a
? (192.168.1.14) at b8:be:f4:0e:19:84 [ether] on enp7s0
? (192.168.1.133) at <incomplete> on enp7s0
_gateway (192.168.1.1) at ec:be:dd:86:7c:d0 [ether] on enp7s0
_gateway (192.168.1.1) at <incomplete> on enp8s0
? (10.0.0.24) at 2c:60:0c:87:ff:1f [ether] on enp8s0
? (192.168.1.23) at 70:77:81:ab:23:8b [ether] on enp7s0
root@alpha30:/etc/init.d#

root@alpha30:/etc/init.d# nft list chains
table inet filter {
	chain input {
		type filter hook input priority 0; policy accept;
	}
}
table ip mon_filtreIPV4 {
	chain prerouting {
		type nat hook prerouting priority 0; policy accept;
	}
	chain postrouting {
		type nat hook prerouting priority 0; policy accept;
	}
}
table ip nat {
	chain postrouting {
		type nat hook postrouting priority 100; policy accept;
	}
}
root@alpha30:/etc/init.d# nft list tables
table inet filter
table ip mon_filtreIPV4
table ip nat

pour info le iptables est OK,
je n’ai pas utilisé l’outil iptables ==> nftables
A vous lire pour avoir un /etc/nftables simple,
A+
JB1*

PascalHambourg · Décembre 26, 2019, 12:05pm

Qu’entends-tu par “interdire” ?
Je ne sais pas de quel pare-feu sous W10 tu parles, mais je ne vois pas comment un programme tournant sous W10 pourrait interdire un programme tourant sous Linux.

Quel rectangle ?
Qu’entends-tu exactement par “pas de réseau IPv4 wan” ? Sur quelle machine ?

Qu’est-ce que c’est ?
Un “hub pare-feu”, jamais vu.

Et de manière intelligible, pourrais-tu expliquer ce que tu veux dire ? Que l’une puisse se connecter à l’autre sur ces ports ? Que W10 puisse accéder à internet via Buster ? Autre chose ?

C’est un simple fichier texte, il ne peut rien refuser du tout.

Ça nous fait une belle jambe de le savoir. Quel genre de trafic ?

Des incohérences :

Le nom de la table contient “filtre” mais elle ne définit que des chaînes de type “nat” qui n’est pas prévu pour faire du filtrage
la chaîne nommée “postrouting” utilise le hook “prerouting”.

D’autre part, ce fichier ne définit que des chaînes vides de politique “accept”, donc qui ne font rien.

Ça ne nous avance pas beaucoup. Qu’entends-tu par là ?
Note qu’il ne faut pas utiliser iptables et nftables simultanément.

sk4hrr · Décembre 27, 2019, 10:44am

Bonjour,

Le pare-feu de ta Livebox n’a aucun influence sur ton LAN.
Concernant les pares-feu logiciels présents sur tes postes, avant de parler de problème, désactive les tous pour vérifier que ce que tu veux faire fonctionne. Si cela fonctionne, réactive les uns à uns en vérifiant que ça fonctionne toujours. Au moment où ça ne fonctionne plus, c’est que le pare-feu en question n’est pas configuré comme tu as besoin.