nftables

nftables

ファイアーウォール。Debian 10ではiptablesからnftablesに置き換わる。

後日注記：nftablesは、従来の*tables系のフィルタリングシステムを統合したもので、RHEL 8など多くのディストリビューションで採用されつつある。「iptablesとまったく異なる使用方法」なのがたまに傷。

• nftables | Linux技術者認定 LinuC | LPI-Japan
• あなたがnftablesを好きになるわけ | Yakst

プログラムのように設定を記述する

nftablesでは、nftコマンドを使って設定や管理を行うほか、iptablesと大きく異なる点として、「プログラムのようにフィルタリング設定を記述する」という点が挙げられる。

iptablesではデータだったフィルタリング設定が、nftablesではプログラムのようになる。このため理解するのは難しいが、理解してしまえば簡素かつ柔軟な設定が可能である。

詳しくは以下のページが参考になる。

• Linuxにおける新たなパケットフィルタリングツール「nftables」入門 | さくらのナレッジ

設定例

たとえば、80番ポート（HTTP）や443番ポート（HTTPS）を許可するには、

#!/usr/sbin/nft -f

...

table ip filter {
    chain input {
        ...
        
        tcp dport 80 counter accept
        tcp dport 443 counter accept
        
        ...
    }
}

とする。

（Debian 10 (buster)のnftablesでアクセス制御 - 発声練習とCentOS8でnftablesの設定をしてみる #centos8 - Qiitaを参考に執筆しました。）

関連ページ

ファイアーウォール

Linux ファイアウォールを参照のこと。