Alalala, les questions existentielles.
Est-ce que j'ai un intérêt à utiliser nftables sur mes firewall en Buster (histoire d'utiliser ce qui est installé par défaut) ou alors je passe à iptables et comme ça je continue à utiliser un truc qui marche comme il faut et pratique à configurer quand on fait des règles qui s'appliquent en IPv4 et IPv6 (ferm) (oui, contrairement à ce qu'on dit, ce n'est pas pratique ce genre de cas avec nftables).

Bon, je vais essayer de faire un truc rigolo.

Je vais partir sur nftables, et je vais essayer de me servir de ansible pour compenser les manques en terme de gestion IPv4/IPv6.

Je vais aller crafter de quoi me sustenter et j'essaie de m'occuper de ce défi cette nuit.

Follow

Olalala, j'ai essayé de reprendre ce que j'avais presque terminé avec nftables et ansible. J'aime autant vous dire qu'il y avait plein de problèmes dedans.

Là ça marche presque tout. Une bonne journée de débug. Me reste encore au moins un cas où une erreur dans les variables ne provoque ni une erreur coté ansible, ni une erreur coté nftables. Juste un ruleset qui ne correspond pas (en gros, les vérifications faites coté ansible font qu'une ligne qui devrait avoir une mauvaise syntaxe pour nftables n'est pas ajouté dans le ruleset, c'est curieusement pas si simple à corriger sans casser d'autres choses :moji11:​).

Bon par contre, la conclusion des premiers tests d'usage, c'est qu'il faut que je revois certaines choses. Je pense que je vais plus coller à mes usages et être un peu moins souples sur certaines choses. Sinon ça devient un peu compliqué au niveau des variables.

@Courgette
T'es en train d'écrire un module ansible pour nftable ?
Dis m'en plus !

@MicroCheapFx Non, juste un rôle.
L'idée c'est juste de générer les fichiers de confs à partir de template jinja2, et de dire à nftables de recharger ses règles.

C'est pas hyper utile en vrai, mais je fais ça pour pouvoir gérer mes règles en définissant à la fois des ipv4 et des ipv6 et laisser mes templates se démerder. (Avec nftables on peut pas mélanger les deux quand on filtre sur l'adresse source ou destination contrairement à ferm qui faisait ça très bien pour iptables.)

Sign in to participate in the conversation
Mastodon Opportun.e

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!