Debian 10と11 nftablesは新しいファイアウォールフレームワークです。
古いカスタム iptables 構成に大きく依存するコンピュータがいくつかあります。それ以外の場合は、すべてを新しいdebian 10/11インストールに簡単に移動したり、以前のインストールをアップグレードしたり、他のほとんどのサービスは問題なく現在のバージョンに更新されます。
これで、nftablesを学ぶために一定時間を投資しています(なぜならnftablesをよく学び、必要に応じて細かく調整したいからです*):
nftablesを無効にし、iptables + iptables-persistを使用する現在の正しい方法は何ですか?
(Debian 10に付属のすべてのセキュリティアップデートと修正を活用しながら、ゆっくりnftablesに移動する時間を与えたいと思います。)
ボーナスもあります。
nftablesの設定が終わったら、反対の作業をしたいと思います。 nftablesに戻り、iptablesを無効にするにはどうすればよいですか?
ある意味、私は基本的に尋ねる。Debian 10と11でiptablesとnftablesをどのように切り替えますか?
*iptables構文をnftables構文に変換するのに役立つユーティリティがあることを知っていますが、自動変換に依存しないことを好みます。だから今、iptablesを再度入れ、ルールを手動でゆっくり変更することを好みます。
答え1
に記録されています。Debian Wiki:
update-alternatives --set iptables /usr/sbin/iptables-legacy
update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
update-alternatives --set arptables /usr/sbin/arptables-legacy
update-alternatives --set ebtables /usr/sbin/ebtables-legacy
答え2
私は次のようにしてDebian 11からiptablesに戻しました:
インストールするebtables、arpテーブル
ebtablesとarptablesの変更点update-alternativesは次のとおりです。以下はarptableの例です。 ebtablesは、パッケージがインストールされている限り同じように機能します。幸いなことに、両方のバージョンのバイナリには「legacy」または「nft」が含まれています。
update-alternatives --install /usr/sbin/arptables arptables /usr/sbin/arptables-legacy 10 --slave /usr/sbin/arptables-save arptables-save /usr/sbin/arptables-legacy-save --slave /usr/sbin/arptables-restore arptables-restore /usr/sbin/arptables-legacy-restore
update-alternatives --install /usr/sbin/arptables arptables /usr/sbin/arptables-nft 20 --slave /usr/sbin/arptables-save arptables-save /usr/sbin/arptables-nft-save --slave /usr/sbin/arptables-restore arptables-restore /usr/sbin/arptables-nft-restore
私と同じように、誤ったシンボリックリンクに関するエラーメッセージを生成するタイプミスを作成した場合は、次のように更新代替設定を手動で削除できます。
rm /var/lib/dpkg/alternatives/arptables`
update-alternativesただし、すべての操作にこのコマンドを使用することをお勧めします。
その後、..を使用してすべてのコマンド(iptables、ip6tables、ebtables、arptables)の更新の代替案を確認する必要があります。--display
バックエンドの変更/etc/firewalld/firewalld.conf:
#FirewallBackend=nftables
FirewallBackend=iptables
systemctl restart firewalld.service動作していることを確認するために、問題を解決して再起動することもできます。
答え3
Debian 10 と 11 では、iptables を引き続き使用できます。新しい11(Bullseyeとも呼ばれます)展開のデフォルト設定はiptablesをインストールしませんが、簡単に追加できます。
デフォルトでは、iptablesユーティリティ(iptables、iptables-save、ebtablesなど)は実際にnftablesフィルタを設定し、nftablesルールを生成します。したがって、iptablesは実際にiptables-nftへのリンクです。
iptables-nft と iptables-legacy を提供する netfilter-pertant パッケージと iptables パッケージを引き続き使用できます。以下を参照してください。
# apt info iptables
iptables-nftを使用している場合は、iptablesルールをロードして一覧表示します。
# nft list ruleset
注 – nftables を使用して設定を変更すると、iptables は変更を読み取ることができないため、実際には前後に移動できません。
自動切り替えに頼らずに新しいウェブフィルタの調査に時間を費やすことで、正しいアプローチを取っています。新しい構文に慣れれば、管理しやすく、より簡単に操作できる構成を作成できます。