标题中已经差不多有这个问题了:
是否可以同时应用nftable和iptables / ip6tables规则?如果是这样:优先顺序是什么?
我问的原因是:大量工具(尤其是来自容器化领域的工具)仍然依赖iptables并ip6tables添加规则,并使容器化服务对网络上的其他实体可用或不可用。因此,如果要表达我的标准防火墙规则,nft则必须与iptables/并行工作ip6tables。
或者这是通过使用照顾iptables-legacy/ip6tables-legacy同update-alternatives或相似?也就是说,所有这些容器化工具都继续使用它们假定的iptables/ ip6tables,但实际上这是nftables提供的兼容性“层”吗?
至于优先顺序,如果可以显示规则在何处具有优先顺序,我将不胜感激。
它可以使用内核iptables和nftables同时,除了NAT,但它需要一定的关注。规则的应用顺序由挂接优先级确定。传统iptables默认值是0,因此nft可以将钩子设置为优先级-1(如果应在优先级之前应用)iptables,或将其设置为优先级为1(如果之后应适用)。
iptables-nft旨在促进向的迁移nft。与内核一起安装nft将允许期望iptables/ip6tables接口的程序继续运行,并nftables在内核中使用。
这是在当前的容器化环境(例如Kubernetes)中使用的方法:容器应该检测主机使用的表集,并使用相应的iptables接口(馈送旧表或nftables)。有关详细信息,请参见Kubernetes问题#71305。
主要的痛点来自于合并iptables-nft和iptables-legacy:它们使用相同的优先级,因此数据包通过两条链,最终无处可去。
有关优先级的详细信息,请参见何时以及如何在nftable中使用链优先nftables级。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句