T
linux security firewall devops sysadmin

Guide de configuration des pare-feu Linux modernes : d'Iptables à Nftables

Maîtrisez la configuration des pare-feu Linux modernes. Apprenez à utiliser les générateurs de règles nftables, les générateurs de règles firewalld et sécurisez votre infrastructure.

2026-04-12

Guide de configuration des pare-feu Linux modernes

Dans le monde de la sécurité Linux, le pare-feu est votre première ligne de défense. Pendant des décennies, iptables a été le roi incontesté du filtrage de paquets. Cependant, le noyau Linux a évolué, tout comme les outils que nous utilisons pour gérer le trafic réseau. Aujourd'hui, nftables a remplacé iptables comme backend préféré, et des outils de plus haut niveau comme firewalld ont rendu les configurations complexes plus accessibles.

Ce guide vous fera découvrir le paysage moderne des pare-feu Linux, en vous aidant à passer des commandes héritées à des ensembles de règles modernes et performants.

1. L'évolution : d'Iptables à Nftables

Bien qu'iptables soit encore largement utilisé, il présente plusieurs limitations structurelles, notamment une conception monolithique qui ralentit la mise à jour des grands ensembles de règles et rend son extension difficile.

Générateur de règles Nftables

nftables a été conçu pour résoudre ces problèmes. Il utilise une syntaxe beaucoup plus claire et un cadre unique pour IPv4 et IPv6. Un générateur de règles nftables est un excellent moyen de construire des règles performantes sans avoir à mémoriser la nouvelle syntaxe.

Avantages clés de nftables :

  • Performance : Mises à jour atomiques et moteur de correspondance plus rapide.
  • Règles combinées : Plus besoin d'utiliser des commandes iptables et ip6tables séparées.
  • Sets et Maps : Gérez efficacement des milliers d'adresses IP dans une seule règle.

Exemple d'une règle nftables pour autoriser le SSH :

table inet filter {
    chain input {
        type filter hook input priority 0; policy drop;
        tcp dport 22 accept
    }
}

2. Gestion dynamique du pare-feu : Firewalld

Pour de nombreuses distributions (comme RHEL, Fedora et CentOS), firewalld est l'outil de gestion par défaut. Il offre une approche dynamique du pare-feu, basée sur des zones.

Générateur de règles Firewalld

Contrairement aux pare-feu traditionnels qui nécessitent un rechargement complet pour appliquer les modifications (ce qui interrompt les connexions existantes), firewalld permet des mises à jour dynamiques. Un générateur de règles firewalld vous aide à gérer :

  • Zones : Affectez des interfaces à différents niveaux de confiance (ex. : public, internal, dmz).
  • Services : Activez des services prédéfinis comme http, https ou ssh.
  • Règles enrichies (Rich Rules) : Créez des règles plus complexes, comme la limitation de débit ou la journalisation de trafics spécifiques.

Commandes firewalld courantes :

  • firewall-cmd --get-active-zones
  • firewall-cmd --zone=public --add-service=https --permanent
  • firewall-cmd --reload

3. Meilleures pratiques pour les pare-feu modernes

Quel que soit l'outil choisi, certains principes de sécurité sont universels :

  1. Refus par défaut : Commencez toujours par une politique qui rejette tout le trafic entrant et n'autorisez explicitement que ce qui est nécessaire.
  2. Moindre privilège : Limitez l'accès à des services spécifiques par adresse IP chaque fois que possible (ex. : n'autorisez le SSH que depuis le VPN de votre bureau).
  3. Inspection d'état (Stateful Inspection) : Assurez-vous que votre pare-feu suit l'état des connexions (ex. : en autorisant le trafic « related » et « established »).
  4. Journalisation et audit : Journalisez les paquets rejetés pour aider à diagnostiquer les attaques et les erreurs de configuration.
  5. Préparation à l'IPv6 : Assurez-vous que vos règles de pare-feu couvrent à la fois les piles IPv4 et IPv6.

4. Résumé : Choisir le bon outil

  • Utilisez Nftables si vous avez besoin d'une performance maximale, si vous construisez un routeur/passerelle ou si vous préférez une syntaxe claire et scriptable.
  • Utilisez Firewalld si vous êtes sur un système basé sur Red Hat et que vous souhaitez une interface de gestion conviviale basée sur des zones et prenant en charge les mises à jour dynamiques.
  • Utilisez UFW (Uncomplicated Firewall) si vous êtes sur Ubuntu ou Debian et que vous avez besoin de la manière la plus simple possible de gérer quelques ports ouverts.

En utilisant les générateurs de règles nftables et firewalld modernes, vous pouvez vous éloigner des scripts hérités fragiles et construire une posture de sécurité robuste et évolutive pour votre infrastructure Linux.

Retour au blog