Introduzione

Nftables è un programma per controllare le regole di filtraggio dei pacchetti dal progetto Netfilter. Questo software fornisce un'infrastruttura per classificazione dei pacchetti interna al kernel che è basata su una VM (macchina virtuale) specifica per rete, e lo strumento a riga di comando in spazio utente nft. L'infrastruttura nftables riusa i sottosistemi Netfilter esistenti, come l'infrastruttura esistente per hook, il sistema di tracciamento delle connessioni, NAT, la gestione di code in spazio utente e il sottosistema di registrazione di log. Nftables sostituisce i vecchi popolari iptables, ip6tables, arptables ed ebtables. Il software Netfilter, e nftables in particolare, è utilizzato in applicazioni come condivisione di connessioni Internet, firewall, contabilità per IP, proxy trasparenti, instradamento avanzato e controllo del traffico.

Selezione

Dal rilascio 20.10 Ubuntu utilizza come infrastruttura predefinita nftables al posto del precedenteiptables.

Per selezionare e/o verificare quale infrastruttura firewall è in uso nel nostro sistema operativo digitare nel terminale questi 2 comandi:

sudo update-alternatives --config iptables
sudo update-alternatives --config ip6tables

riceveremo una risposta simile a questa:

Sono disponibili 2 scelte per l'alternativa iptables (che fornisce /usr/sbin/iptables).

  Selezione    Percorso                   Priorità  Stato
------------------------------------------------------------
  0            /usr/sbin/iptables-nft      20        modalità automatica
* 1            /usr/sbin/iptables-legacy   10        modalità manuale
  2            /usr/sbin/iptables-nft      20        modalità manuale

Premere Invio per mantenere il valore predefinito[*] o digitare il numero della selezione:

Installazione

Installare il pacchetto nftables.
Abilitare il servizio nftables all'avvio.

Transizione

Per tradurre le regole da iptables a nftables abbiamo 2 modi.

Una alla volta

Digitare nel terminale:

sudo iptables-translate <regola di iptables>

alcuni esempi:

sudo iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT

riceveremo la risposta:

nft add rule ip filter INPUT tcp dport 22 ct state new counter accept

altro esempio ma con ipv6:

sudo ip6tables-translate -A FORWARD -i eth0 -o eth3 -p udp -m multiport --dports 111,222 -j ACCEPT

riceveremo la risposta:

nft add rule ip6 filter FORWARD iifname eth0 oifname eth3 meta l4proto udp udp dport { 111,222} counter accept

Tutte insieme

I comandi che seguono vanno tutti digitati nel terminale

Salvare tutte le regole in uso su iptables in un file digitando:
```
sudo iptables-save > save.txt
```
Tradurre le regole salvate nel file digitando:
```
sudo iptables-restore-translate -f save.txt
```
Oppure tradurre le regole e al tempo stesso salvarle in un file leggibile da nftables digitando:
```
sudo iptables-restore-translate -f save.txt > ruleset.nft
```
Caricare su nftables le regole salvate nel file digitando:
```
sudo nft -f ruleset.nft
```

Persistenza

Per salvare le regole in uso in modo che vengano ricaricate al prossimo avvio digitare:

sudo nft list ruleset > /etc/nftables.conf

-  ⇤ ← Versione 39 del 15/02/2022 16.47.49 → 
  Dimensione: 3889
  Autore: carlin0
  Commento:
+   ← Versione 40 del 15/02/2022 17.20.58 → ⇥
  Dimensione: 4052
  Autore: carlin0
  Commento:
-Le cancellazioni sono segnalate in questo modo.
+Le aggiunte sono segnalate in questo modo.
 Linea 78:
+= Persistenza =

Per salvare le regole in uso in modo che vengano ricaricate al prossimo avvio digitare: {{{
sudo nft list ruleset > /etc/nftables.conf
}}}