18.5. ファイアウォール
ipset パッケージおよび iptables-nft パッケージが非推奨となる
RHEL では、ipset パッケージおよび iptables-nft パッケージが非推奨になりました。iptables-nft には、iptable、ip6tables、ebtables、arptables などのさまざまなツールが同梱されています。このようなツールには新しい機能がなくなり、新しいデプロイメントに使用することは推奨されません。代わりに、nftable パッケージが提供する nft コマンドラインツールを使用することが推奨されます。既存の設定は、できる限り nft に移行する必要があります。
nftables への移行の詳細は、Migrating from iptables to nftables と、iptables-translate(8)およびip6tables-translate(8) の man ページを参照してください。
サポートされていない xt_u32 Netfilter モジュールは削除されました
RHEL 8 には、サポートされていない xt_u32 モジュールが含まれていました。これにより、iptables ユーザーはパケットヘッダーまたはペイロードの任意の 32 ビットにマッチできます。このモジュールは RHEL 9 から削除されました。代わりに、nftables パケットフィルタリングフレームワークを使用します。nftable にネイティブマッチが存在しない場合は、nftable の raw ペイロードマッチング機能を使用します。詳細は、nft(8) man ページの raw ペイロード表現 セクションを参照してください。
