질문은 거의 제목에 있습니다.
nftables 및 iptables/ip6tables 규칙을 동시에 적용할 수 있습니까? 그렇다면 우선순위는 무엇입니까?
제가 질문하는 이유는 많은 도구(특히 컨테이너화 세계의)가 여전히 규칙에 의존 iptables하고 ip6tables추가하며 네트워크의 다른 엔터티가 컨테이너화된 서비스를 사용하거나 사용할 수 없게 만들기 때문입니다. 따라서 nft이를 사용하여 표준 방화벽 규칙을 표현 하려면 iptables/ 와 병렬로 작동 해야 합니다 ip6tables.
iptables-legacy아니면 / ip6tables-legacywith 또는 이와 유사한 것을 사용하여 만족합니까 update-alternatives? 즉, 이러한 모든 컨테이너화 도구는 iptables/ 가정한 대로 계속 사용 ip6tables하지만 실제로는 nftables에서 제공하는 호환성 "계층"입니까?
우선순위에 관해서는 규칙의 우선순위를 보여줄 수 있는 일종의 차트를 갖고 싶습니다.
답변1
커널의 iptables합을 동시에 사용하는 것도 가능 nftables하지만 약간의 주의가 필요합니다. 규칙이 적용되는 순서는 후크 우선순위에 따라 결정됩니다. 레거시 iptables기본값은 0이므로 nft후크를 먼저 적용해야 하는 경우 우선순위를 -1로 설정하고 iptables나중에 적용해야 하는 경우에는 1로 설정할 수 있습니다.
iptables-nft로의 마이그레이션을 용이하게 하도록 설계되었습니다 nft. 이를 설치하면 nft커널에서 사용될 때 인터페이스가 계속 작동할 수 있습니다.iptablesip6tablesnftables
이는 현재 컨테이너화된 환경(예: Kubernetes)에서 사용되는 접근 방식입니다. 컨테이너는 호스트에서 어떤 테이블 세트를 사용하는지 감지하고 해당 iptables인터페이스(이전 테이블 또는 제공 nftables)를 사용해야 합니다. 바라보다쿠버네티스 문제 #71305더 알아보기.
주요 문제점은 합계를 결합하는 데 있습니다 iptables-nft. iptables-legacy즉, 동일한 우선순위를 사용하므로 패킷이 두 체인을 모두 통과하여 아무데도 가지 않게 됩니다.
바라보다nftables에서 체인 우선순위를 사용하는 시기와 방법우선순위에 대해 자세히 알아보세요 nftables.