nftables ist der Nachfolger von iptables mit besserer Syntax und Leistung. Im Gegensatz zu iptables bietet es eine einheitliche Verwaltung von IPv4-, IPv6- und ARP-Regeln in einem einzigen Framework. Die Syntax ist lesbarer und ermoeglicht atomare Aktualisierungen ganzer Regelsaetze, wodurch das Risiko inkonsistenter Zustaende waehrend Aenderungen eliminiert wird. Das Kernel-Modul nf_tables ist effizienter und unterstuetzt native Sets fuer den Massenabgleich von Adressen und Ports.
nftables¶
nft add table inet filter
nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
nft add rule inet filter input ct state established,related accept
nft add rule inet filter input tcp dport { 22, 80, 443 } accept
nft list ruleset
Regeln sollten in einer Datei gespeichert und mit nft -f /etc/nftables.conf geladen werden. Bei Aenderungen wird der gesamte Regelsatz atomar ersetzt, sodass keine kurzzeitigen Sicherheitsluecken entstehen. Fuer fortgeschrittene Szenarien koennen Maps und Verdict Maps fuer dynamisches Traffic-Routing verwendet werden.
Firewalld¶
firewall-cmd --list-all
firewall-cmd --add-service=http --permanent
firewall-cmd --reload
Firewalld arbeitet mit Zonen — jede Netzwerkschnittstelle wird einer Zone mit eigenem Regelsatz zugeordnet. Die Zone public ist Standard fuer nicht vertrauenswuerdige Netzwerke, trusted erlaubt alles, drop verwirft jeglichen eingehenden Verkehr. Firewalld verwendet intern nftables als Backend und bietet eine hoehere Abstraktion, die fuer Administratoren geeignet ist, die keine granulare Kontrolle benoetigen.
Wann was¶
- nftables — volle Kontrolle, benutzerdefinierte Regeln, NAT, Load Balancing
- firewalld — einfachere Verwaltung, RHEL/CentOS, Zonenmodell
- iptables — Legacy, migrieren Sie zu nftables
Auf nftables migrieren¶
Fuer neue Projekte waehlen Sie nftables oder firewalld. Bestehende iptables-Regeln koennen mit iptables-translate und ip6tables-translate konvertiert werden, die aequivalente nftables-Syntax generieren.