Linuxにおいて広く使われているパケットフィルタリングツールは「iptables」だが、ここ数年このiptablesに代わる新たなパケットフィルタリングツール「nftables」の開発が進んでおり、昨今では標準でnftablesを採用するLinuxディストリビューションも登場している。本記事ではこのnftablesの概要と、nftablesを使ったパケットフィルタリングの設定について紹介する。 DebianやRHELで標準採用されたnftables Linuxにおいては、ファイアウォールのようなパケットフィルタリングやパケットの転送、ルーティングなどの機能を設定するツールとして長らく「iptables」が使われていた。iptablesはLinuxカーネル2.4系の時代から提供されており、現在でも多くのLinuxディストリビューションで標準搭載されている。しかし、昨今ではiptablesの設計の古さや効率の悪さなども指摘されるようになっている。そこで新たに開発されたのが今回紹介する「nftables」だ。 最近ではRed Hat Enterprise Linux 8やDebian 10など、iptablesに変わってnftablesをパケットフィルタリングのためのデフォルトバックエンドとして採用するディストリビューションも増えており、今後nftablesの利用シーンは増えていくと予想される。そこで本記事では、このnftablesの概要や設定コマンドの使い方、基本的な設定例などを紹介していく。 nftablesの特徴 nftablesは、2014年1月にリリースされたLinuxカーネル3.13以降で利用できるパケットフィルタリング機能だ。従来利用されていたiptablesとの相違点としては、以下が挙げられる。 ebtablesやarptables、iptables、ip6ta
↧