Les modes d’édition NFtables

Depuis le début de ce cours, je vous fait utiliser la même méthode d'édition de nftables, la méthode en ligne de commande (non, il n'y a pas encore de méthode graphique ;)). Il faut savoir qu'il existe 3 méthodes d'édition des règles dans nftables.

I. La méthode interactive

Nous pouvons effet entrer dans le mode interactif de nftables en utilisant l'option -i :

root@debian# nft –i

Avec cette option  -i, nous entrons en effet dans un environnement nft> qui nous permet de saisir des lignes de commande nftables. Voici un exemple d'utilisation :

root@debian# nft -i
nft> list tables
table ip nat
nft> list table nat
table ip nat {
   chain prerouting {
      type nat hook
[...]
nft> quit

Cela permet d'éviter de saisir le nom de la commande nft à chaque fois.

II. La méthode fichier

La méthode fichier permet de faire lire à nftables un fichier dont le contenu contiendra nos tables, chaines et règles. Cela se peut se faire via l'option -f qui va lire le fichier. Par exemple si j'ai un fichier nftables.rules contenant des règles nftables, je pourrais les importer via la commande suivante :

root@debian# nft -f nftables.rules

Il faut savoir que lorsque l'on fait une importation depuis un fichier comme ci-dessus, les règles sont ajoutées aux règles existantes. Il peut donc être nécessaire de supprimer toutes nos règles au préalable.

Cela peut être pratique si l'on souhaite avoir une méthode de travail par bloc. Par exemple avoir un ensemble de règles relatives au fonctionnement du service HTTP/HTTPS dans un fichier, et avoir un les règles concernant FTP/MySQL dans un autre. Etc. On pourra alors "activer" uniquement l'un des deux modules si on le souhaite.

III. La méthode instruction

Ce que j'appelle instruction est l'utilisation des lignes de commande qui sont exécutées et interprétées par nftables, c'est au final comme cela que l'on travaille depuis le début du cours. Cette utilisation se caractérise par l'utilisation de la commande nft avant chaque passage de commande.