Centos/RHEL8开始,nftables取代iptables成为网络包过滤框架。nftables仍然使用原有的Connection Tracking System,只是改变了网络包的标记方式。关于nftables可以参见
使用nftables之后的firewalld有所变化,最直观的是iptables -L看不到firewalld的过滤项了,必须使用nft才能看到。比如进入不同zone的过滤规则
1 | nft list ruleset inet |
firewalld的大部分配置都可以直接转成nftables,除了direct的规则。direct的规则会使用iptables兼容的链,可以被iptables -L看到。
1 | # firewall-cmd --direct --add-rule ipv4 filter INPUT 4 -s 106.38.41.66 -j ACCEPT |
目前看Centos/RHEL8的firewalld仍然可以使用原来的配置,功能是一样的。
- 本文作者: KCN
- 本文链接: https://www.kcn.me/2020/03/12/certos8-nft-firewalld/
- 版权声明: 未经允许,请勿转载