Nftables

nftables
作者 The Netfilter project
開発元 The Netfilter project
最新版
0.9.4 / 2020年4月1日 (4年前) (2020-04-01)[1]
リポジトリ
ウィキデータを編集
プログラミング
言語		 C
対応OS Linux
種別 パケットフィルタリング
ライセンス GNU GPL v2
公式サイト netfilter.org/projects/nftables/ ウィキデータを編集
テンプレートを表示
tc英語版Linuxカーネルのパケットスケジューラーに対して、Netfilter英語版に対するiptablesや、nftablesに対するnftのような関係のツールである。これらは全てLinuxカーネルサブシステムを構成するために使用されるユーザー空間ユーティリティーである。

nftablesは、パケット/データグラム/フレームパケットフィルタリングと分類機能を提供するLinuxカーネルのサブシステムである。2014年1月19日に公開されたLinux 3.13以降で利用可能である[2]

nftablesはNetfilter英語版の特定の部分のみを置き換え、それ以外の部分は維持および再利用することになっている。Netfilterに対するnftablesの利点は、フィルタリングルールを纏めることができる (重複コードを減らすことができる) ことと、スループットが高いことである。nftablesの設定はユーザー空間ユーティリティーnftを介して行うが、Netfilterではiptablesip6tablesarptables英語版およびebtablesフレームワークを介して設定を行う。

nftablesは、ネットワークスタックへの既存のフック、接続追跡システム、ユーザー空間のキューイングコンポーネント、ログサブシステムなどのNetfilterインフラストラクチャーの構成要素を利用している。

nft

コマンドラインの構文

宛先のIPアドレス1.2.3.4のパケットを破棄するnftのコマンドは、次のように書ける。 

nft add rule ip filter output ip daddr 1.2.3.4 drop

iptablesのコマンドの構文はnftとは異なり、次のようになる。 

iptables -A OUTPUT -d 1.2.3.4 -j DROP

また、互換レイヤーが提供されており、バックエンドとしてnftablesを使用している場合でも、従来のiptablesのフィルタリングルールの構文でパケットフィルタリングを行うことができる。

歴史

このプロジェクトは、NetfilterのコアチームのPatrick McHardyによってNetfilter Workshop 2008で公開された[3]カーネルおよびユーザー空間の実装の最初のプレビュー版は2009年3月に公開された[4]。nftablesは「2001年にiptablesが導入されて以降、Linuxのファイアウォールでの最大の変更点」と呼ばれているが、ほとんど報道されていない[5]。著名なハッカーであるFyodor Vaskovich英語版(Gordon Lyon)は「メインストリームのLinuxカーネルで公開されることを楽しみにしている。」と述べている[5]

2012年10月、Pablo Neira Ayusoがiptablesの互換レイヤーを提案し[6]、プロジェクトをメインストリームのLinuxカーネルに含める可能性を発表した。

2013年10月26日、Pablo Neira Ayusoは、nftablesの中核部分をメインストリームのLinuxカーネルにマージするためのプルリクエストを提出した[7]。このプルリクエストは2014年1月19日にマージされ、Linux 3.13として公開された[2]

概要

nftablesカーネルエンジンはLinuxカーネルに単純な仮想機械を追加する。この仮想機械はバイトコードを実行して、パケットを検査することで、パケットの処理方法を決定することができる。この仮想機械によって行われる操作の実装は意図的に基本的なものになっている。この仮想機械はパケットからデータを取得し、関連するメタデータ (インバウンドインタフェースなど) を確認し、接続追跡データを管理することができる。算術演算子、ビット単位演算子および比較演算子を使用して、そのデータに基づいて決定を下すことができる。また、仮想機械はデータセット (通常はIPアドレス) を操作できるので、複数の比較操作を単一のフィルタリングルールに置き換えることができる[8]

上記の内容は、iptablesのフィルタリングルールに反している。iptablesのフィルタリングルールではプロトコルを識別する機能が仕組みの奥深くに組み込まれているので、フィルタリングルールを4回(IPv4IPv6ARPおよびイーサネットブリッジ)呼び出す必要がある。これは、エンジンがプロトコル毎に固有であり、汎用的には使用できないからである[8]

iptablesに対するnftablesの主な利点は、LinuxカーネルABIの簡素化、重複コードの削減、エラーメッセージの改善およびフィルタリングルールのより効率的な実行、保存および増分変更である。従来使用されていたiptables(8)ip6tables(8)arptables(8)およびebtables(8)(それぞれIPv4、IPv6、ARPおよびイーサネットブリッジ用)は、単一の実装としてnft(8)に置き換えられる予定であり、カーネル内仮想機械上にファイアウォール設定を提供する。

nftablesは単一のNetlink英語版トランザクション内で、1つ以上のファイアウォールルールのアトミックな置き換えができるように改良されたユーザー空間APIも提供する。これによって、大きなフィルタリングルールを持つファイアウォール設定の変更が高速化される。また、ルールの変更中に競合が発生することを避けるためにも役立つ。nftablesには以前のファイアウォールからの移行を容易にする互換性機能、iptablesのフィルタリングルールを変換するユーティリティー[9]、バックエンドとしてnftablesを使用している場合のiptablesのフィルタリングルールの互換構文が含まれている[10]

脚注

  1. ^ nftables Release of the netfilter/nftables project”. The Netfilter project. 2020年5月22日閲覧。
  2. ^ a b 末岡洋子 (2014年1月21日). “Linuxカーネル3.13リリース、nftablesやブロックデバイスレイヤーの改良などが特徴”. OSDN Magazine. 2019年10月8日閲覧。
  3. ^ User day program - NFWS2008”. The Netfilter project. 2017年6月30日時点のオリジナルよりアーカイブ。2019年10月8日閲覧。
  4. ^ McHardy, Patrick (18 March 2009). "First release of nftables". linux-netdev (Mailing list). 2019年10月8日閲覧
  5. ^ a b Patrick Gray (2009年3月26日). “NEWS: Linux Gets New Firewall”. Risky Business. 2019年10月8日閲覧。
  6. ^ Pablo Neira Ayuso (25 October 2012). "back on nf_tables (plus compatibility layer)". netfilter-devel (Mailing list). 2019年10月8日閲覧
  7. ^ Pablo Neira Ayuso (14 October 2013). "netfilter updates: nf_tables pull request". netfilter-devel (Mailing list). 2019年10月8日閲覧
  8. ^ a b Jonathan Corbet (2013年8月20日). “The return of nftables”. LWN.net. 2019年10月8日閲覧。
  9. ^ Pablo Neira Ayuso (2016年7月13日). “src: add xt compat support”. 2019年10月8日閲覧。
  10. ^ Arturo Borrero Gonzalez (2018年6月16日). “Netfilter Workshop 2018 Berlin summary”. 2019年10月8日閲覧。

関連項目

ポータル FLOSS
ポータル FLOSS
  • firewalld - バージョン0.6.0以降でnftablesをデフォルトのバックエンドとして使用している

外部リンク

Linux
アプリ
ディストロ
BSD
アプリ
ディストロ
macOS
Windows
商用
フリーミアム
オープンソース
アプライアンス

 

Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi