From 5c8e1477d9ca7204d8eec9617d86182d0a52c751 Mon Sep 17 00:00:00 2001
From: Hugo LEVY-FALK <klafyvel@gmail.com>
Date: Wed, 9 Jan 2019 13:15:20 +0100
Subject: [PATCH] Politique globale

---
 firewall.nft      |  3 +++
 global_policy.nft | 12 ++++++++++++
 2 files changed, 15 insertions(+)
 create mode 100644 global_policy.nft

diff --git a/firewall.nft b/firewall.nft
index a0aafa0..16eb0f3 100644
--- a/firewall.nft
+++ b/firewall.nft
@@ -18,6 +18,9 @@ table inet firewall {
 		# Politique par défaut : tout jeter.
 		policy drop;
 
+		# Applique la politique globale
+		jump global
+
 		# Filtre sur les interfaces entrantes, ne pas accepter
 		# directement dans la chaine, mais retourner.
 		# Par convention pour le routage, on vérifie dans la chaîne to_ que
diff --git a/global_policy.nft b/global_policy.nft
new file mode 100644
index 0000000..529ff24
--- /dev/null
+++ b/global_policy.nft
@@ -0,0 +1,12 @@
+
+table inet firewall {
+	chain global {
+		# Interdiction de l'encapsulation ipv6 dans ipv4
+		ip protocol 6 drop;
+
+		# Gestion de l'ICMP :
+		# On empêche le ping flood
+		icmp type echo-request limit rate over 50/second drop;
+		icmp accept;
+	}
+}