Утилита xtables-nft-multi#

xtables-nft-multi - это набор команд, который используется для создания и управления правилами сетевого фильтра в операционной системе с применением nft (уникальных токенов); является nft-версиями фреймворков <ip,ip6,arp,eb>tables (см. Утилита iptables).

Набор состоит из команд:

• iptables-nft;

• iptables-nft-save;

• iptables-nft-restore;

• ip6tables-nft;

• ip6tables-nft-save;

• ip6tables-nft-restore;

• arptables-nft;

• ebtables-nft.

xtables-nft-multi используют расширения библиотеки libxtables и подключаются к подсистеме ядра nf_tables с помощью модуля nft_compat. При добавлении правила также включаются в подсистему ядра nf_tables. Каждый бинарный файл заменяется символической ссылкой на xtables-nft, например:

/sbin/iptables -> /usr/sbin/iptables-nft-multi
/sbin/ip6tables -> /usr/sbin/ip6tables-nft-multi
/sbin/arptables -> /usr/sbin/arptables-nft-multi
/sbin/ebtables -> /usr/sbin/ebtables-nft-multi

Примеры использования#

• Для отображения варианта используемого API - предыдущего или nf_tables, выведите версию iptables при помощи команды:

  iptables -V
  

  Пример результата вывода команды, где вариант API отображен в скобках:

  iptables v1.8.8 (nf_tables)
  

• Для создания базового набора правил в nf_tables с помощью инструментов xtables-nft на новой машине введите:

  iptables-nft -L
  

  ip6tables-nft -L
  

  arptables-nft -L
  

  ebtables-nft -L
  

  nft list ruleset
  table ip filter {
  chain INPUT {
  type filter hook input priority 0; policy accept;
  }
  
  chain FORWARD {
  type filter hook forward priority 0; policy accept;
  }
  
  chain OUTPUT {
  type filter hook output priority 0; policy accept;
  }
  }
  table ip6 filter {
  chain INPUT {
  type filter hook input priority 0; policy accept;
  }
  
  chain FORWARD {
  type filter hook forward priority 0; policy accept;
  }
  
  chain OUTPUT {
  type filter hook output priority 0; policy accept;
  }
  }
  table bridge filter {
  chain INPUT {
  type filter hook input priority -200; policy accept;
  }
  
  chain FORWARD {
  type filter hook forward priority -200; policy accept;
  }
  
  chain OUTPUT {
  type filter hook output priority -200; policy accept;
  }
  }
  table arp filter {
  chain INPUT {
  type filter hook input priority 0; policy accept;
  }
  
  chain FORWARD {
  type filter hook forward priority 0; policy accept;
  }
  
  chain OUTPUT {
  type filter hook output priority 0; policy accept;
  }
  }
  

  Подробнее о соответствующих опциях и правилах см. в разделе «Утилита iptables» и «Утилита nft».