Debian 10 및 11 nftables는 새로운 방화벽 프레임워크입니다.
오래된 사용자 정의 iptables 구성에 크게 의존하는 컴퓨터가 몇 대 있습니다. 그 외에는 모든 것을 새로운 debian 10/11 설치로 쉽게 옮기거나 이전 설치를 업그레이드할 수 있으며 대부분의 다른 서비스는 문제 없이 현재 버전으로 업데이트됩니다.
이제 nftables를 배우기 위해 일정 시간을 투자하는 동안(왜냐면 nftables를 잘 배우고 필요에 맞게 세부 조정하고 싶기 때문입니다*):
nftables를 비활성화하고 iptables + iptables-persist를 사용하는 현재 올바른 방법은 무엇입니까?
(Debian 10과 함께 제공되는 모든 보안 업데이트와 수정 사항을 활용하면서 천천히 nftables로 이동할 시간을 주고 싶습니다.)
보너스도 있어요
nftables 구성을 마친 후에는 반대 작업을 수행하고 싶습니다. nftables로 다시 전환하고 iptables를 비활성화하려면 어떻게 해야 합니까?
어떤 면에서 나는 기본적으로 묻는다.Debian 10과 11에서 iptables와 nftables 사이를 어떻게 전환하나요?
*iptables 구문을 nftables 구문으로 변환하는 데 도움이 되는 유틸리티가 있다는 것을 알고 있지만 자동 변환에 의존하지 않는 것을 선호합니다. 그래서 이제는 iptables를 다시 넣고 규칙을 수동으로 천천히 변경하는 것을 선호합니다.
답변1
에 기록되어 있어요데비안 위키:
update-alternatives --set iptables /usr/sbin/iptables-legacy
update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
update-alternatives --set arptables /usr/sbin/arptables-legacy
update-alternatives --set ebtables /usr/sbin/ebtables-legacy
답변2
나는 다음을 수행하여 Debian 11에서 iptables로 다시 전환했습니다:
설치하다ebtables,arp 테이블
ebtables 및 arptables의 변경 사항 update-alternatives은 다음과 같습니다. 아래는 arptable의 예입니다. ebtables는 패키지가 설치되어 있는 한 동일하게 작동합니다. 다행스럽게도 두 버전의 바이너리 모두 "legacy" 또는 "nft"를 포함하고 있습니다.
update-alternatives --install /usr/sbin/arptables arptables /usr/sbin/arptables-legacy 10 --slave /usr/sbin/arptables-save arptables-save /usr/sbin/arptables-legacy-save --slave /usr/sbin/arptables-restore arptables-restore /usr/sbin/arptables-legacy-restore
update-alternatives --install /usr/sbin/arptables arptables /usr/sbin/arptables-nft 20 --slave /usr/sbin/arptables-save arptables-save /usr/sbin/arptables-nft-save --slave /usr/sbin/arptables-restore arptables-restore /usr/sbin/arptables-nft-restore
나처럼 잘못된 심볼릭 링크에 대한 오류 메시지를 초래하는 오타를 만든 경우 다음을 사용하여 업데이트 대체 구성을 수동으로 제거할 수 있습니다.
rm /var/lib/dpkg/alternatives/arptables`
update-alternatives하지만 모든 작업에 이 명령을 사용하는 것이 좋습니다.
그런 다음 ..를 사용하여 모든 명령(iptables, ip6tables, ebtables, arptables)에 대한 업데이트 대안을 확인해야 합니다.--display
백엔드 변경 /etc/firewalld/firewalld.conf:
#FirewallBackend=nftables
FirewallBackend=iptables
systemctl restart firewalld.service작동하는지 확인하기 위해 문제를 해결하고 재부팅할 수도 있습니다 .
답변3
Debian 10 및 11에서는 iptables를 계속 사용할 수 있습니다. 새로운 11(Bullseye라고도 함) 배포의 기본 구성은 iptables를 설치하지 않지만 쉽게 추가할 수 있습니다.
기본적으로 iptables 유틸리티(iptables, iptables-save, ebtables 등)는 실제로 nftables 필터를 구성하고 nftables 규칙을 생성합니다. 따라서 iptables는 실제로 iptables-nft에 대한 링크입니다.
iptables-nft 및 iptables-legacy를 제공하는 netfilter-pertant 및 iptables 패키지를 계속 사용할 수 있습니다. 다음을 참조하세요.
# apt info iptables
iptables-nft를 사용하는 경우 iptables 규칙을 로드하고 나열하면 됩니다.
# nft list ruleset
참고 - nftables를 사용하여 구성을 수정하는 경우 iptables는 변경 사항을 읽을 수 없으므로 실제로 앞뒤로 이동할 수 없습니다.
자동 전환에 의존하지 않고 새로운 웹 필터를 조사하는 데 시간을 투자함으로써 올바른 접근 방식을 취하고 있습니다. 새로운 구문에 익숙해지면 보다 쉽게 관리하고 운영할 수 있는 구성을 생성할 수 있습니다.