CentOS/RHEL 8 では、デフォルトの iptables ネットワーク パケット フィルタリング フレームワークが nftables フレームワークに置き換えられました。 iptables、ip6tables、arptables、および ebtables の後継として指定されている nftables フレームワークには、パケット分類機能といくつかの改善点が含まれており、以前に使用されていたパケット フィルタリング ツールよりも利便性が向上し、パフォーマンスが向上しています。
この投稿では、CentOS/RHEL 7 で既存の iptables ルールを nftables に移行する方法について説明します。
CentOS/RHEL 6、7 での iptable ルールの終了を表示
CentOS/RHEL 6、7 サーバーで既存のルールを表示するには:
# iptables -L DROP udp -- anywhere anywhere multiport dports epmap,microsoft-ds DROP udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn DROP udp -- anywhere anywhere udp spt:netbios-ns dpts:1024:65535 DROP tcp -- anywhere anywhere multiport dports epmap,netbios-ssn,microsoft-ds
歩数
1. 既存のルールをファイルに保存するには、次のコマンドを実行します:
# iptables-save > rules.iptables
2. step1 ファイルを scp または ftp 経由で CentOS/RHEL 8 Server に移動します。 vi エディターを使用して、CentOS/RHEL 6 または 7 マシンからコンテンツをコピーすることもできます。
3. 以下のコマンドを実行して、iptables ルール ファイルを使用して CentOS/RHEL 8 で nft ルール ファイルを生成します。
# iptables-restore-translate -f rules.iptables > rules.nft
4. CentOS/RHEL 8 マシンにルールをロードし、nftables サービスがシステムで実行されていることを確認します。
# nft -f rules.nft ### load the rule via nft to nftables.
5. CentOS/RHEL 8 サーバーでルールを表示するには .
# nft list ruleset
ルールが CentOS/RHEL 6 または 7 から CentOS/RHEL 8 サーバーに移行され、テストすることもできます。