nftables Rules Generator

Generateur de regles nftables, le successeur moderne d'iptables.

Configuration

Basique NAT Sets Avance

Nom de la table

Famille inet (IPv4 + IPv6) ip (IPv4 only) ip6 (IPv6 only)

Politique par defaut (input) drop (securise) accept

Politique par defaut (forward) drop accept

Services autorises (input)

SSH (22) HTTP (80) HTTPS (443) DNS (53) SMTP (25) SMTPS (587) IMAP (143,993) MySQL (3306) PostgreSQL (5432) Redis (6379)

Ports supplementaires (TCP)

Ports UDP Ex: 51820 pour WireGuard

Options

Autoriser connexions etablies

Autoriser ICMP (ping)

Autoriser loopback

Logger les paquets droppes

Rate limit SSH (anti brute-force)

Activer NAT/Masquerade

Interface sortante

Reseau source a NATer

Port Forwarding (DNAT)

Activer port forwarding

Port externe

IP interne

Port interne

Creer set blacklist

IPs a bloquer (une par ligne) 192.168.1.100 10.0.0.50

Creer set whitelist

IPs autorisees (une par ligne) 192.168.1.0/24 10.0.0.0/8

Creer set de ports

Ports (separes par virgules)

Protection contre les attaques

Protection SYN flood

Drop paquets invalides

Drop paquets XMAS tree

Drop null scans

Rate Limiting

Limite connexions/seconde (0 = desactive)

Limite ICMP/seconde

Interfaces

Interface(s) a proteger Laissez vide pour toutes les interfaces

Configuration generee

# nftables.conf

Copier

Installation

# Commandes

Copier

Presets courants

Web Server

HTTP/HTTPS + SSH

Database Server

MySQL/PgSQL depuis LAN

Router/NAT

Masquerade + forwarding

Docker Host

Ports dynamiques

VPN Server

WireGuard/OpenVPN

Minimal

SSH seulement

Reference rapide

nft list ruleset	Afficher toutes les regles
nft flush ruleset	Supprimer toutes les regles
nft -f /etc/nftables.conf	Charger config
nft add element inet firewall blacklist { 1.2.3.4 }	Ajouter a un set
nft delete element inet firewall blacklist { 1.2.3.4 }	Supprimer d'un set

---

Migration iptables vers nftables

# Exporter regles iptables
iptables-save > iptables-rules.txt

# Convertir en nftables
iptables-restore-translate -f iptables-rules.txt > nftables.conf

# Ou utiliser iptables-nft (compatibilite)
update-alternatives --set iptables /usr/sbin/iptables-nft

---

Voir aussi

• Iptables Generator
• Fail2Ban Generator
• Firewall Best Practices