Linux豆知識 233

nftables

nftablesは、従来iptables、ip6tables、arptables、ebtablesに分かれていたフィルタリングツールを統合したツールです。
Red Hat Enterprise Linux 8からiptablesに代わって搭載され、これに伴いCentOS 8でもiptablesの代替として採用されています。
他のLinuxディストリビューションにも採用されつつあります。

nftablesの操作方法は、iptablesとは全く文法が異なります。解説するとあまりにも分量が多くなりすぎるので、コマンドの実行例だけを示しておきます。

$ nft add chain ip testtable testchain { type filter hook input priority 0 ¥; } 
$ nft add rule ip testtable testchain tcp dport 80 drop 
$ nft add rule ip testtable testchain ip saddr 192.168.1.0/24 accept

1つ目のコマンドでテーブルとチェインを定義します。
2つ目のコマンドでは「TCP80番ポート宛てのパケットは受け付けない」というルールを設定しています。
3つ目のコマンドでは「192.168.1.0/24からのパケットは受け付ける」というルールを設定します。

YUMとほとんど同じように利用できたDNFと異なり、使い方も大幅に変わったnftables。あらためて、使い方をしっかりと確認しておいてください。


ページトップへ