Introduzione

Nftables è un programma per controllare le regole di filtraggio dei pacchetti dal progetto Netfilter. Questo software fornisce un'infrastruttura per classificazione dei pacchetti interna al kernel che è basata su una VM (macchina virtuale) specifica per rete, e lo strumento a riga di comando in spazio utente nft. L'infrastruttura nftables riusa i sottosistemi Netfilter esistenti, come l'infrastruttura esistente per hook, il sistema di tracciamento delle connessioni, NAT, la gestione di code in spazio utente e il sottosistema di registrazione di log. Nftables sostituisce i vecchi popolari iptables, ip6tables, arptables ed ebtables. Il software Netfilter, e nftables in particolare, è utilizzato in applicazioni come condivisione di connessioni Internet, firewall, contabilità per IP, proxy trasparenti, instradamento avanzato e controllo del traffico.

Tutti i comandi citati in questa pagina vanno digitati nel terminale con i privilegi di amministrazione .

Selezione

Dal rilascio 20.10 Ubuntu utilizza come infrastruttura predefinita nftables al posto del precedente iptables.

Per selezionare e/o verificare quale infrastruttura firewall è in uso nel nostro sistema operativo digitare questi 2 comandi:

update-alternatives --config iptables
update-alternatives --config ip6tables

riceveremo una risposta simile a questa:

Sono disponibili 2 scelte per l'alternativa iptables (che fornisce /usr/sbin/iptables).

  Selezione    Percorso                   Priorità  Stato
------------------------------------------------------------
  0            /usr/sbin/iptables-nft      20        modalità automatica
* 1            /usr/sbin/iptables-legacy   10        modalità manuale
  2            /usr/sbin/iptables-nft      20        modalità manuale

Premere Invio per mantenere il valore predefinito[*] o digitare il numero della selezione:

Installazione

Installare il pacchetto nftables.
Abilitare il servizio nftables all'avvio.

Transizione

Per tradurre le regole da iptables a nftables abbiamo 2 modi:

Regola singola

Digitare:

iptables-translate <regola di iptables>

alcuni esempi:

iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

riceveremo la risposta:

nft add rule ip filter INPUT tcp dport 22 ct state new counter accept

altro esempio ma con ipv6:

ip6tables-translate -A FORWARD -i eth0 -o eth3 -p udp -m multiport --dports 111,222 -j ACCEPT

riceveremo la risposta:

nft add rule ip6 filter FORWARD iifname eth0 oifname eth3 meta l4proto udp udp dport { 111,222} counter accept

Set di regole

Salvare tutte le regole in uso su iptables in un file digitando:
```
iptables-save > save.txt
```
Tradurre le regole salvate nel file digitando:
```
iptables-restore-translate -f save.txt
```
Oppure tradurre le regole e al tempo stesso salvarle in un file leggibile da nftables digitando:
```
iptables-restore-translate -f save.txt > ruleset.nft
```
Caricare su nftables le regole salvate nel file digitando:
```
nft -f ruleset.nft
```

Persistenza

Per salvare le regole in uso in modo che vengano ricaricate al prossimo avvio digitare:

nft list ruleset > /etc/nftables.conf

-  ⇤ ← Versione 33 del 15/02/2022 10.52.37 → 
  Dimensione: 1111
  Autore: carlin0
  Commento:
+   ← Versione 45 del 16/02/2022 10.33.52 → ⇥
  Dimensione: 4019
  Autore: carlin0
  Commento:
-Le cancellazioni sono segnalate in questo modo.
+Le aggiunte sono segnalate in questo modo.
 Linea 9:
-'''nftables''' è un programma per controllare le regole di filtraggio dei pacchetti dal progetto Netfilter
 Questo software fornisce un'infrastruttura per classificazione dei
 pacchetti interna al kernel che è basata su una VM (macchina virtuale)
 specifica per rete, e lo strumento a riga di comando in spazio utente nft.
 L'infrastruttura nftables riusa i sottosistemi Netfilter esistenti, come
 l'infrastruttura esistente per hook, il sistema di tracciamento delle
 connessioni, NAT, la gestione di code in spazio utente e il sottosistema di
 registrazione di log.
 .
 nftables sostituisce i vecchi popolari iptables, ip6tables, arptables ed
 ebtables.
 .
 Il software Netfilter, e nftables in particolare, è utilizzato in
 applicazioni come condivisione di connessioni Internet, firewall,
 contabilità per IP, proxy trasparenti, instradamento avanzato e controllo
 del traffico.
+'''Nftables''' è un programma per controllare le regole di filtraggio dei pacchetti dal progetto [[https://it.wikipedia.org/wiki/Netfilter|Netfilter]].
Questo software fornisce un'infrastruttura per classificazione dei pacchetti interna al [[https://it.wikipedia.org/wiki/Kernel|kernel]] che è basata su una VM (macchina virtuale) specifica per rete, e lo strumento a riga di comando in spazio utente nft. L'infrastruttura nftables riusa i sottosistemi Netfilter esistenti, come l'infrastruttura esistente per hook, il sistema di tracciamento delle connessioni, [[https://it.wikipedia.org/wiki/Network_address_translation|NAT]], la gestione di code in spazio utente e il sottosistema di registrazione di log.
Nftables sostituisce i vecchi popolari [[Sicurezza/Iptables|iptables]], ip6tables, arptables ed ebtables.
Il software Netfilter, e nftables in particolare, è utilizzato in applicazioni come condivisione di connessioni Internet, firewall, contabilità per IP, proxy trasparenti, instradamento avanzato e controllo del traffico.

<<BR>>

{{{#!wiki note
Tutti i comandi citati in questa pagina vanno digitati nel [[AmministrazioneSistema/Terminale|terminale]] con i [[AmministrazioneSistema/PrivilegiDiAmministrazione/Sudo|privilegi di amministrazione]] .
}}}

= Selezione =

{{{#!wiki note
Dal rilascio 20.10 Ubuntu utilizza come infrastruttura predefinita `nftables` al posto del precedente `iptables`.
}}}

 * Per selezionare e/o verificare quale infrastruttura firewall è in uso nel nostro sistema operativo digitare questi 2 comandi: {{{
update-alternatives --config iptables
update-alternatives --config ip6tables
}}}riceveremo una risposta simile a questa: {{{
Sono disponibili 2 scelte per l'alternativa iptables (che fornisce /usr/sbin/iptables).

  Selezione    Percorso                   Priorità  Stato
------------------------------------------------------------
  0            /usr/sbin/iptables-nft      20        modalità automatica
* 1            /usr/sbin/iptables-legacy   10        modalità manuale
  2            /usr/sbin/iptables-nft      20        modalità manuale

Premere Invio per mantenere il valore predefinito[*] o digitare il numero della selezione: 
}}}

= Installazione =

 0. [[AmministrazioneSistema/InstallareProgrammi|Installare]] il pacchetto [[apt:/nftables|nftables]].

 0. [[https://wiki.ubuntu-it.org/AmministrazioneSistema/Systemd#Abilita_.2F_Disabilita|Abilitare]] il servizio `nftables` all'avvio.

= Transizione =

Per tradurre le regole da `iptables` a `nftables` abbiamo 2 modi:

== Regola singola ==

 * Digitare: {{{
iptables-translate <regola di iptables>
}}}alcuni esempi: {{{
iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
}}}riceveremo la risposta: {{{
nft add rule ip filter INPUT tcp dport 22 ct state new counter accept
}}}altro esempio ma con ipv6: {{{
ip6tables-translate -A FORWARD -i eth0 -o eth3 -p udp -m multiport --dports 111,222 -j ACCEPT
}}}riceveremo la risposta: {{{
nft add rule ip6 filter FORWARD iifname eth0 oifname eth3 meta l4proto udp udp dport { 111,222} counter accept
}}}

== Set di regole ==

 0. Salvare tutte le regole in uso su `iptables` in un file digitando: {{{
iptables-save > save.txt
}}}

 0. Tradurre le regole salvate nel file digitando: {{{
iptables-restore-translate -f save.txt
}}}Oppure tradurre le regole e al tempo stesso salvarle in un file ''leggibile'' da `nftables` digitando: {{{
iptables-restore-translate -f save.txt > ruleset.nft
}}}

 0. Caricare su `nftables` le regole salvate nel file digitando: {{{
nft -f ruleset.nft
}}}

= Persistenza =

Per salvare le regole in uso in modo che vengano ricaricate al prossimo avvio digitare: {{{
nft list ruleset > /etc/nftables.conf
}}}