Какие преимущества предоставляет nftables по сравнению с iptables?

Question

[Валентин]

Давно не настраивал линуксы, а тут пришлось залезть в консоль. Обнаружил, что вместо привычного iptables сейчас люди активно используют nftables. Интернеты пишут преимущественно, что ее проще использовать в плане синтаксиса.

Какие преимущества даёт новая утилита помимо синтаксического сахара и объединения утилит вида xtables в одну? Может она там как-то более производительна (кто-то замерял) или там у неё есть какие-нибудь убер фичи? Или это очередная конструкция типа ufw, shorewall и тд для тех, кто не осилил классическую утилиту?

Answer 1

[Александр Карабанов]

Новый синтаксис изучать необязательно, оно совместимо с синтаксисом iptables.
Основная фишка в том, что правила выполняются во встроенном в ядро Linux интерпретаторе байткода eBPF, на низком уровне и быстро.

Главная проблема не настроить случайно оба фаирвола (и netfilter и nft).
Проверь, что к чему можно sudo iptables-legacy -S и sudo iptables-nft -S соответственно.
Если очень хочется, то можно заменить симлинк (если речь про Debian) и продолжить использовать netfilter вместо nft.

Comments

[pfemidi]

Александр Карабанов, а как узнать какой используется, если в системе присутствуют оба?

[Александр Карабанов]

pfemidi, надо посмотреть куда указывают симлинки:

~$ which iptables
/usr/sbin/iptables
~$ ls -alah /usr/sbin/iptables
lrwxrwxrwx 1 root root 26 мая  9  2020 /usr/sbin/iptables -> /etc/alternatives/iptables
~$ ls -alah /etc/alternatives/iptables
lrwxrwxrwx 1 root root 25 мая  9  2020 /etc/alternatives/iptables -> /usr/sbin/iptables-legacy
~$

[Валентин]

Александр Карабанов, а если есть правила и nft, и iptables, через какое из них проходит сетевой пакет по системе? Какое первично?

[Александр Карабанов]

С этим до конца не разобрался, но если нет запрещающего правила в nft, но есть в netfilter, то сработает nft и трафик беспрепятственно будет проходить. Вероятно nft первично, но это не точно.
В любом случае смешивать чревато и так делать не надо.

Answer 2

[Валентин]

Или это очередная конструкция типа ufw, shorewall и тд для тех, кто не осилил классическую утилиту?

ufw и прочие - это всё равно iptables, это надстройки над ним. А nftables внутри ядра другой. И уже есть версия команды iptables, которая работает с nftables внутри ядра (чтобы синтаксис не учить новый). Ну т.е. разработчики в ядре переписали функционал, без обратной совместимости со старым, отсюда и новое название. Обратную совместимость позже сделали на уровне команды iptables для юзера