10.2. 패킷 필터링

nftables 프레임워크는 패킷 분류 기능을 제공하며 iptables,ip6tables,arptables,ebtables, ipset 툴에 지정된 후속 기능을 제공합니다. 이전의 패킷 필터링 툴에 비해 편의성, 기능 및 성능이 크게 향상되었으며 주요 개선 사항은 다음과 같습니다.

iptables과 마찬가지로 nftables는 체인을 저장하기 위해 테이블을 사용합니다. 체인에는 작업을 수행하기 위한 개별 규칙이 포함되어 있습니다. nft 툴은 이전 패킷 필터링 프레임워크의 모든 도구를 대체합니다. libnftables 라이브러리는 libmnl 라이브러리를 통해 nftables Netlink API와 낮은 수준의 상호 작용에 사용할 수 있습니다.

iptables, ip6tables, ebtables 및 arptables 툴은 같은 이름을 가진 nftables 기반 드롭인 툴로 교체됩니다. 외부 동작은 기존 대응 동작과 일치하지만, 내부적으로는 필요에 따라 호환성 인터페이스를 통해 기존 netfilter 커널 모듈과 함께 nftables를 사용합니다.

nftables 규칙 세트에서 모듈의 영향은 nft list ruleset 명령을 사용하여 확인할 수 있습니다. 이러한 툴은 테이블, 체인 및 규칙을 nftables 규칙 세트에 추가하므로 nft flush ruleset 명령과 같은 nftables 규칙 세트 작업이 이전의 별도의 레거시 명령을 사용하여 설치된 규칙 세트에 영향을 미칠 수 있습니다.

어떤 종류의 툴이 존재하는지 신속하게 확인하기 위해 백엔드 이름을 포함하도록 버전 정보가 업데이트되었습니다. RHEL 8에서는 nftables 기반의 iptables 툴로 다음 버전 문자열이 출력됩니다.

$ iptables --version
iptables v1.8.0 (nf_tables)

기존 iptables 툴이 있는 경우 다음 버전 정보가 출력됩니다.

$ iptables --version
iptables v1.8.0 (legacy)