iptables、xtables、iptables-nft、xtables-nft、nf_tables、nftablesの関係または違いは何ですか？

私のポイントは、iptables、ip6tables、ebtables、arptablesがNetfilterのフロントエンドツールセットであることです。

これは、ルールをフォーマットしてコンパイルしてカーネルで実行されているコアNetfilterにロードするために使用される一連のユーザースペースツールです。モジュールディレクトリからカーネルモジュールにNetfilterのすべてのカーネル部分を見つけることができますls /lib/modules/$(uname -r)/kernel/net/netfilter/。nf_*, nft_*, xt_*

これらのツールの問題は、ルールの粒度で機能するため、ルールを調整するたびにすべてのカーネルルールをダウンロードし、バイナリブロブを修正してからカーネルにアップロードすることです。ルールが多すぎると、プロセスはCPUを大量に使用します。

nftablesは、このツールスイートをユニークなツール（すべてを支配するために...エヘム）に書き換えたものです。これにより、使いやすくパフォーマンスが向上しますが、まだNetfilterのフロントエンドですが、主な違いは次のとおりです。 Netfilterのすべての部分を処理するためのシームレスな構文を持ち、1つずつダウンロードしてアップロードすることなく、Netfilter内で直接バイナリルールセット全体を変更できることは、大幅な改善を意味します。

これはまた、iptablesとnftablesを同時に使用してルールを変更することができますが、異なるルール間の優先順位を見ることができない、または優先順位が望ましくない可能性があるため、お勧めできません。

これで、展開戦略に応じて、新しいNetfilterコアセットモジュールで使用するさまざまなパッケージセットを見つけることができます。 xtables-nftに言及しました。これは{ip|ip6,eb,arp}tables、既存のツールと同じ方法で新しいNetfilterコアで動作できるユーザースペースツールの中間セット（またはパッケージ）を指定するためのショートカットです。 nftablesの既存の方法（新しい方法）。

従来のツールセットが新しいNetfilterコアと同じように動作できるようにするiptables-legacyというパッケージもありますが、ip{,6}tablesルールをnftablesに直接変換できないため、ファイアウォールスクリプトツールなどのツールをferm新しいインストールに使用できます。最新のカーネルの操作が続行されます。

たとえば、2つをリンクすると、iptables-legacy-save |iptables-nft-restore古いiptablesルールセットを新しいnftablesルールセットに直接変換できます。

xtables-nftは、古いツールと同様に、新しいNetfilterコアで作業できる{ip、eb、arp}テーブルで構成されるユーザースペースツールの中間セット（またはパッケージ）を指定するためのショートカットなので、便利で簡素化されます。既存の方法からnftablesへの移行（新しい方法）

挨拶。