nftables

nftables è un sottosistema del kernel Linux che fornisce il filtraggio e la classificazione dei pacchetti di rete/datagrammi/frame. È disponibile dal kernel Linux 3.13 rilasciato il 19 gennaio 2014^[1].

nftables sostituisce le parti iptables di netfilter. Tra i vantaggi di nftables rispetto a iptables c'è una minore duplicazione del codice e una più facile estensione a nuovi protocolli. nftables è configurato tramite l'utility user-space nft, mentre gli strumenti legacy sono configurati tramite le utility iptables, ip6tables, arptables ed ebtables.

nftables utilizza gli elementi costitutivi dell'infrastruttura netfilter, come gli hook esistenti nello stack di rete, il sistema di tracciamento delle connessioni, il componente di accodamento dello spazio utente e il sottosistema di registrazione.

nft

[modifica | modifica wikitesto]

Sintassi della riga di comando

[modifica | modifica wikitesto]

Un comando per far cadere qualsiasi pacchetto con indirizzo IP di destinazione 1.2.3.4:

 nft add rule ip filter output ip daddr 1.2.3.4 drop

Si noti che la nuova sintassi differisce notevolmente da quella di iptables, in cui la stessa regola verrebbe scritta:

 iptables -A OUTPUT -d 1.2.3.4 -j DROP

La nuova sintassi può apparire più dettagliata, ma è anche molto più flessibile. nftables incorpora strutture dati avanzate come dizionari, mappe e concatenazioni che non esistono con iptables. L'utilizzo di questi può ridurre significativamente il numero di catene e regole necessarie per esprimere un determinato progetto di filtraggio dei pacchetti.

Lo strumento iptables-translate può essere utilizzato per tradurre molte regole iptables esistenti in equivalenti regole nftables^[2]^[3]. Debian 10 (Buster), tra le altre distribuzioni Linux, usa nftables insieme a iptables-translate come backend predefinito per il filtraggio dei pacchetti.