Джун (Junior):
«iptables — это файрвол, а nftables — новая версия».
Мидл (Middle):
«nftables — современная замена iptables: упрощённая конфигурация, лучшая производительность и работа с наборами (sets). На новых дистрибутивах используют nft вместо iptables. Просмотр: nft list ruleset. Для iptables: iptables -L -n -v (старый стиль)».
Сеньор (Senior):
«nftables объединяет семейства (inet/inet6) и даёт структуру таблиц → цепочек → правил и мощные наборы (sets) для эффективной фильтрации. Современные системы (RHEL/CentOS 8+, recent Debian/Ubuntu) используют nft в качестве backend; legacy iptables ещё может присутствовать. Основные операции:
- посмотреть правила:
nft list ruleset - создать таблицу/цепочку/правило:
nft add table inet filter
nft 'add chain inet filter input { type filter hook input priority 0 ; }'
nft add rule inet filter input tcp dport 22 ct state new accept
- сохранить набор:
nft list ruleset > /etc/nftables.confи загрузить при старте.
Если нужно работать с существующими iptables-скриптами, естьiptables-translateдля конвертации правил в nft-формат. Рекомендация: на новых системах использовать nftables; если используешь firewalld — он работает поверх nftables в современных релизах. Всегда тестировать правила и иметь консольный доступ/план возврата (иначе рискуешь потерять доступ по SSH).»