Documentation for a newer release is available. View Latest

Jaringan

nftables menggantikan iptables sebagai kerangka kerja penapisan paket jaringan default

Framework nftables menyediakan fasilitas klasifikasi paket dan itu adalah penerus alat iptables, ip6tables, arptables, dan ebtables. Itu menawarkan berbagai perbaikan dalam kenyamanan, fitur, dan kinerja dari alat penapisan paket sebelumnya, paling utama:

  • Tabel lookup sebagai pengganti pemrosesan linier.

  • Suatu framework tunggal untuk protokol IPv4 dan IPv6.

  • Aturan semua diterapkan secara atomik sebagai pengganti mengambil, memperbarui, dan menyimpan suatu set aturan lengkap.

  • Mendukung pengawakutuan dan pelacakan dalam set aturan (nftrace) dan pemantauan kejadian pelacakan (dalam alat nft).

  • Sintaks yang lebih konsisten dan kompak, tidak ada ekstensi spesifik protokol.

  • Suatu API Netlink untuk aplikasi pihak ke tiga.

Serupa dengan iptables, nftables memakai tabel untuk menyimpan rantai. Rantai memuat aturan individu untuk melakukan aksi. Alat nft menggantikan semua alat dari framework penapisan paket sebelumnya. Pustaka libnftables dapat dipakai untuk interaksi tingkat bawah dengan API Netlink nftables melalui pustaka libmnl.

Alat iptables, ip6tables, ebtables, dan arptables digantikan oleh pengganti berbasis nftables dengan nama yang sama. Walaupun perilaku eksternal identik dengan pasangan warisan mereka, secara internal mereka memakai nftables dengan modul kernel netfilter warisan melalui suatu antar muka kompatibilitas ketika diperlukan.

Efek dari modul-modul pada set aturan nftables dapat diamati memakai perintah nft list ruleset. Karena alat-alat ini menambah tabel, rantai, dan aturan ke set aturan nftables, sadari bahwa operasi menata aturan nftables, seperti misalnya perintah nft flush ruleset, mungkin mempengaruhi set aturan yang dipasang memakai perintah warisan yang sebelumnya terpisah.

Untuk mengidentifikasi secara cepat varian alat yang ada, informasi versi telah diperbarui untuk menyertakan nama back-end. Dalam Fedora 32, alat iptables berbasis nftables mencetak string versi berikut:

$ iptables --version
iptables v1.8.4 (nf_tables)

Untuk perbandingan, informasi versi berikut dicetak bila alat iptables warisan ada:

$ iptables --version
iptables v1.8.4 (legacy)

Untuk informasi lebih lanjut, lihat https://fedoraproject.org/wiki/Changes/iptables-nft-default dan https://wiki.nftables.org/wiki-nftables/index.php/Legacy_xtables_tools.

Want to help? Learn how to contribute to Fedora Docs