Ero sivun ”NFTables” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
← Vanhempi muutosUudempi muutos →
Raspi (keskustelu | muokkaukset)
76 muokkausta
lisää ominaisuuksia lisätty
p luokitus kuntoon
Rivi 30: Rivi 30:
* Arch Linuxin wiki: https://wiki.archlinux.org/index.php/nftables
* Arch Linuxin wiki: https://wiki.archlinux.org/index.php/nftables
* Gentoon wiki: https://wiki.gentoo.org/wiki/Nftables
* Gentoon wiki: https://wiki.gentoo.org/wiki/Nftables
[[Luokka:Järjestelmä]]
[[Luokka:Verkko]]
[[Luokka:Tietoturva]]
[[Luokka:Ylläpitotyökalut]]
[[Luokka:Komentorivin perustyökalut]]

Versio 23. toukokuuta 2016 kello 04.36

NFTables (nft) korvaa vanhat iptables (IPv4), ip6tables (IPv6), arptables (ARP/RARP) ja ebtables (Silta) -palomuuriohjelmistot. NFTables nitoo kaikki vanhat ohjelmat yhden ohjelman alle. Joissain jakeluissa NFTables on asennettu jo vakiona ja joihinkin se pitää asentaa. Paketin nimi on yleensä nft tai nftables. NFTables kehitettiin mm. siksi, että vanhoja edellä mainittuja ohjelmia on paljon ja näin monen ohjelman ylläpito ja kehitys on hankalaa. NFTables tulee syrjäyttämään vanhat palomuuriohjelmat tulevaisuudessa.

Joitain ominaisuuksia

  • Atominen tuki (lisää/korvaa/muuta kaikki tai osa säännöistä kerralla)
    • Vanhassa iptablesissa säännöt syötettiin yksitellen ja ne astuivat voimaan syöttämisjärjestyksessä
  • Interaktiivinen konsoli
  • Skriptituki
    • Muuttujatuki
      • NTP-aikapalvelimet: define ntp_servers = { 127.0.0.1, 192.168.0.1 }
      • DNS-nimipalvelin: define google_dns = 8.8.8.8
    • Tiedostojen liittäminen skriptitiedostoihin:
      • include "variables.ruleset"
      • include "lan-rules.ruleset"
      • include "wan-rules.ruleset"
  • Reaaliaikainen palomuurisääntöjen muutosten seuranta (nft monitor)
    • Mahdollistaa esimerkiksi skriptin teon, joka ottaa automaattiset varmuuskopiot git-versionhallinnan avulla sekä kirjoittaa tiedon milloin muutos tehtiin
      • Tämä taas mahdollistaa helpon palomuurisääntöjen historiaseurannan ja muutoksen peruutuksen
  • JSON- ja XML-tuki
    • Helpottaa sääntöjen kirjoittamista ja luettavuutta ohjelmistoilla
    • Esimerkiksi sääntöjen listauksesta luettavassa JSON-muodossa: nft export json | jq
  • Yhdistetty IPv4 ja IPv6 sääntö inet-nimen alle, mutta myös ip ja ip6 ovat käytettävissä erikseen

Muuta

NFTablesiin on tehty apuohjelmia ja skriptejä, joilla voit käyttää NFTablesia kuten käyttäisit iptablesia, mutta apuohjelma muuttaa iptables-säännöt NFTables-yhteensopiviksi. Esimerkiksi Ubuntussa paketin nimi on iptables-nftables-compat.

Aiheesta muualla

Noudettu kohteesta ”https://www.linux.fi/w/index.php?title=NFTables&oldid=46405