Xarxa

El marc nftables proporciona facilitats de classificació de paquets i és el successor designat de les eines iptables, ip6tables, arptables i ebtables. Ofereix nombroses millores en conveniència, característiques i rendiment respecte a les eines de filtratge de paquets anteriors, sobretot:

De manera similar a iptables, nftables utilitza taules per emmagatzemar cadenes. Les cadenes contenen regles individuals per realitzar accions. L’eina nft substitueix totes les eines dels marcs de filtratge de paquets anteriors. La biblioteca libnftables es pot utilitzar per a la interacció de baix nivell amb l’API Netlink d'`nftables` sobre la biblioteca libmnl.

Les eines iptables, ip6tables, ebtables i arptables són substituïdes per substitucions directes basades en nftables amb el mateix nom. Tot i que el comportament extern és idèntic als seus homòlegs heretats, internament utilitzen nftables amb mòduls de nucli netfilter heretats a través d’una interfície de compatibilitat quan sigui necessari.

L’efecte dels mòduls sobre el conjunt de regles nftables es pot observar utilitzant l’ordre nft list ruleset. Com que aquestes eines afegeixen taules, cadenes i regles al conjunt de regles nftables, tingueu en compte que les operacions del conjunt de regles nftables, com ara l’ordre nft flush ruleset, podrien afectar els conjunts de regles instal·lats utilitzant les ordres heretades anteriorment separades.

Per identificar ràpidament quina variant de l’eina està present, la informació de la versió s’ha actualitzat per incloure el nom del back-end. A Fedora 32, l’eina iptables basada en nftables imprimeix la següent cadena de versió:

A tall de comparació, s’imprimeix la següent informació de la versió si l’eina iptables heretada està present:

Per obtenir més informació, consulteu https://fedoraproject.org/wiki/Changes/iptables-nft-default i https://wiki.nftables.org/wiki-nftables/index.php/Legacy_xtables_tools.