Sécurité

firewalld utilise désormais nftables comme backend par défaut

Avec cette version, le sous-système de filtrage nftables devient le backend par défaut de pare-feu pour le démon firewalld. Pour changer le backend, utilisez l’option FirewallBackend dans le fichier /etc/firewalld/firewalld.conf. Cette modification introduit les différences de comportement suivantes lors de l’utilisation de nftables :

  • Les règles iptables s’exécutent toujours avant les règles firewalld.

    • Le terme DROP dans iptables signifie que le paquet ne sera jamais vu par firewalld.

    • Le terme ACCEPT dans iptables signifie que le paquet sera toujours soumis aux règles de firewalld.

  • L’exécution de règles directes se produit avant l’acceptation générique des connexions établies de firewalld.