Quel remplaçant à ufw avec le passage de debian de iptables à nftables ?

ploc · Novembre 11, 2019, 8:14pm

Presque tout est dit dans le titre. Mais je vais expliquer un peu le contexte.

debian utilisait jusqu’à la version stable précédente iptables pour gérer le firewall, le NAT et autres sujets réseaux.

Avec la dernière version stable de debian, iptables est remplacé par nftables.

Or iptables était un peu complexe à configurer, et on disposait d’un outil très sympa appelé ufw (Uncomplicated FireWall) qui permettait d’avoir une configuration du firewall d’un peu plus haut niveau.

Personnellement, j’utilisais ufw via le module ufw d’ansible et la configuration de la sécurité réseau devenait un jeu d’enfant.

Or avec buster, l’actuelle version stable de debian, je ne vois pas - malgré mes recherches - d’équivalent à ufw, mais pour nftables. Je me demande donc si nftables est devenu suffisamment simple à configurer pour que le besoin d’un équivalent à ufw ne soit plus nécessaire. Ou s’il est prévu que ufw puisse prochainement supporter la configuration d’un nftables à la place d’un iptables. Ou encore s’il existe un équivalent à ufw, mais pour nftables, que je n’aurais pas réussi à trouvé malgré mes recherches ? Ou bien peut-être qu’on a là un trou dans la raquette, un manque qui ne demande qu’à être comblé…

Vos avis m’intéressent…

ploc · Novembre 10, 2019, 9:50pm

Ah, je vois que @grandtoubab s’était posé la question.

Verner · Novembre 10, 2019, 10:27pm

Une piste sans aucune garantie, pour investigations: firewalld firewall-applet
=> firewall-config

ploc · Novembre 11, 2019, 10:23pm

Il me semble que firewalld n’est pas un front à nftables (ni à iptables d’ailleurs).

Verner · Novembre 11, 2019, 10:47pm

C’est pour ça que je demandais de vérifier.

https://fedoraproject.org/wiki/Changes/firewalld_default_to_nftables
" Firewalld Default to nftables"

ploc · Octobre 6, 2021, 10:16pm

Bon, visiblement, ufw est capable de piloter iptables tout autant que nftables…

Clochette · Octobre 7, 2021, 6:24am

T’as vue ça où ?

avec nftables tu peux utiliser à la limite Shorewall ou Firewalld

ploc · Octobre 7, 2021, 6:54am

Sur le wiki de debian :

NOTE: Debian Buster uses the nftables framework by default .

Starting with Debian Buster, nf_tables is the default backend when using iptables, by means of the iptables-nft layer (i.e, using iptables syntax with the nf_tables kernel subsystem). This also affects ip6tables, arptables and ebtables.

Clochette · Octobre 7, 2021, 9:40am

Bah relis bien il ne pilote pas nftable mais passe par un wrapper pour ne pas casser le fonctionnement traditionnel des applications qui n’utilise pas nftable.

ufw n’a pour l’instant à ma connaissance aucun plan pour supporter nftable, c’est pour ça que je te demandé de précisé où avait-tu vue qu’il supporté nftable.

ploc · Octobre 9, 2021, 8:43am

Oui oui, sur le fond tu as raison.

Il reste vrai aussi qu’on peut piloter nftables avec ufw (avec un wrapper entre les deux).