Follow

Alalala, les questions existentielles.
Est-ce que j'ai un intérêt à utiliser nftables sur mes firewall en Buster (histoire d'utiliser ce qui est installé par défaut) ou alors je passe à iptables et comme ça je continue à utiliser un truc qui marche comme il faut et pratique à configurer quand on fait des règles qui s'appliquent en IPv4 et IPv6 (ferm) (oui, contrairement à ce qu'on dit, ce n'est pas pratique ce genre de cas avec nftables).

Bon, je vais essayer de faire un truc rigolo.

Je vais partir sur nftables, et je vais essayer de me servir de ansible pour compenser les manques en terme de gestion IPv4/IPv6.

Je vais aller crafter de quoi me sustenter et j'essaie de m'occuper de ce défi cette nuit.

Je sais pas comment j'ai fait pour avoir un telle idée. Mais sachez qu'il y a du regret. Plein.

J'en suis au stade où je vois du jinja2 même quand je ferme les yeux. :moji3:

(En vrai ça avance pas mal. J'aurais peut-être le temps de terminer ce soir.)

Bon, ok, je viens de passer 12h sur ça aujourd'hui. J'imagine qu'il est temps de se faire à manger… Et puis le ménage attendra demain.

(Me manque plus que le nat.)

Olalala, j'ai essayé de reprendre ce que j'avais presque terminé avec nftables et ansible. J'aime autant vous dire qu'il y avait plein de problèmes dedans.

Là ça marche presque tout. Une bonne journée de débug. Me reste encore au moins un cas où une erreur dans les variables ne provoque ni une erreur coté ansible, ni une erreur coté nftables. Juste un ruleset qui ne correspond pas (en gros, les vérifications faites coté ansible font qu'une ligne qui devrait avoir une mauvaise syntaxe pour nftables n'est pas ajouté dans le ruleset, c'est curieusement pas si simple à corriger sans casser d'autres choses :moji11:​).

Bon par contre, la conclusion des premiers tests d'usage, c'est qu'il faut que je revois certaines choses. Je pense que je vais plus coller à mes usages et être un peu moins souples sur certaines choses. Sinon ça devient un peu compliqué au niveau des variables.

@Courgette
"Qu'est-ce qu'on mange?" me parait quand même une question existentielle hautement prioritaire à côté.

@fanny Ce genre de question, ça va, j'arrive à me décider ou alors je finis sur random.org.

Dans le cas des firewall, je suis en train de faire des tests depuis 13h30 sans arriver à me décider 🙃

@fanny Mais, mais, mais… C'est une vile activité ça de troller ! C'est pas très très bien les viles activités. :moji2:

@Courgette oui je sais mais j'essaye de me contrôler mais des fois j'y arrive pas :D
j'ai mangé du houmous ça va mieux.

@Courgette
T'es en train d'écrire un module ansible pour nftable ?
Dis m'en plus !

@MicroCheapFx Non, juste un rôle.
L'idée c'est juste de générer les fichiers de confs à partir de template jinja2, et de dire à nftables de recharger ses règles.

C'est pas hyper utile en vrai, mais je fais ça pour pouvoir gérer mes règles en définissant à la fois des ipv4 et des ipv6 et laisser mes templates se démerder. (Avec nftables on peut pas mélanger les deux quand on filtre sur l'adresse source ou destination contrairement à ferm qui faisait ça très bien pour iptables.)

Sign in to participate in the conversation
Mastodon Opportun.e

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!