标题中已经差不多有这个问题了:
是否可以同时应用nftable和iptables / ip6tables规则?如果是这样:优先顺序是什么?
我问的原因是:大量工具(尤其是来自容器化领域的工具)仍然依赖iptables
并ip6tables
添加规则,并使容器化服务对网络上的其他实体可用或不可用。因此,如果要表达我的标准防火墙规则,nft
则必须与iptables
/并行工作ip6tables
。
或者这是通过使用照顾iptables-legacy
/ip6tables-legacy
同update-alternatives
或相似?也就是说,所有这些容器化工具都继续使用它们假定的iptables
/ ip6tables
,但实际上这是nftables提供的兼容性“层”吗?
至于优先顺序,如果可以显示规则在何处具有优先顺序,我将不胜感激。
它可以使用内核iptables
和nftables
同时,除了NAT,但它需要一定的关注。规则的应用顺序由挂接优先级确定。传统iptables
默认值是0,因此nft
可以将钩子设置为优先级-1(如果应在优先级之前应用)iptables
,或将其设置为优先级为1(如果之后应适用)。
iptables-nft
旨在促进向的迁移nft
。与内核一起安装nft
将允许期望iptables
/ip6tables
接口的程序继续运行,并nftables
在内核中使用。
这是在当前的容器化环境(例如Kubernetes)中使用的方法:容器应该检测主机使用的表集,并使用相应的iptables
接口(馈送旧表或nftables
)。有关详细信息,请参见Kubernetes问题#71305。
主要的痛点来自于合并iptables-nft
和iptables-legacy
:它们使用相同的优先级,因此数据包通过两条链,最终无处可去。
有关优先级的详细信息,请参见何时以及如何在nftable中使用链优先nftables
级。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句