主页 / ubuntu / 问题 / 1370901
Accepted
gaazkam
Asked: 2021-10-23 04:45:38 +0800 CST

Ubuntu 21.10 切换到 nftables,为什么 iptables 仍然可用?

  • 772

根据21.10 发行说明

nftables 现在是防火墙的默认后端。

但是,在安装了 Ubuntu 21.10 之后,我可以看到我仍然默认安装了 iptables(和 ufw):

m@m-VirtualBox:~$ whereis iptables

iptables: /usr/sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz

m@m-VirtualBox:~$ whereis ufw

ufw: /usr/sbin/ufw /usr/lib/ufw /etc/ufw /usr/share/ufw /usr/share/man/man8/ufw.8.gz

为什么会这样?

据我所知,ufw它是 iptables 的包装器,而不是 nftables。

我可以安全地使用这些命令吗?或者我应该注意不要在终端中输入iptables或输入?ufw

iptables

2 个回答

  1. Best Answer

    在你的whereis iptables命令之后,你应该遵循这些文件。例如,来自 20.04 服务器:

    doug@s19:~$ whereis iptables
iptables: /usr/sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz
doug@s19:~$ ls -l /usr/sbin/iptables
lrwxrwxrwx 1 root root 26 Jan 23  2020 /usr/sbin/iptables -> /etc/alternatives/iptables
doug@s19:~$ ls -l /etc/alternatives/iptables
lrwxrwxrwx 1 root root 22 Apr 18  2021 /etc/alternatives/iptables -> /usr/sbin/iptables-nft
doug@s19:~$ ls -l /usr/sbin/iptables-nft
lrwxrwxrwx 1 root root 17 Feb 28  2020 /usr/sbin/iptables-nft -> xtables-nft-multi
doug@s19:~$ ls -l /usr/sbin/xtables-nft-multi
-rwxr-xr-x 1 root root 220488 Feb 28  2020 /usr/sbin/xtables-nft-multi

    所以,iptables 实际上是在使用 nftables。

    nftables 可以解释 iptables 语法。

    • 7

  2. 我没有你问题的所有答案,但我确实有一些。

    UFW 是一个防火墙抽象层,可以使用 iptablesnftables 作为后端防火墙。它只是 Ubuntu 的得心应手的帮手,就像 Firewalld + firewall-cmd 用于 Red Hat 变体一样。

    Ubuntu 21.10 服务器的全新服务器安装显示了您所看到的 - 事实上后端仍在标准服务器安装上使用 iptables。

    xtables-nft-multi(或简称 xtables-multi)的联机帮助页显示了解释:

    xtables-nft 是使用 nftables API 的 iptables 版本。这是一套帮助系统管理员将规则集从 iptables(8)、ip6tables(8)、arptables(8) 和 ebtables(8) 迁移到 nftables(8) 的工具。

    据我所知,您是对的,虽然 Ubuntu 似乎正在转向 nftables 作为 iptables 的替代品,但它们还没有出现。

    好消息是,如果您一直在使用 UFW,从管理的角度来看,没有任何变化,因为 iptables 和 nftables 似乎是可以互换的,因为 nft 将接受 iptables 语法,即使您在 / 中有时髦的规则。例如 etc/ufw/before.rules。

    • 4

相关问题