Разработчики Netfilter официально объявили iptables устаревшим
На прошедшей в конце прошлой недели в Берлине конференции Netfilter workshop, объединившей разработчиков Linux-подсистемы фильтрации и модификации пакетов Netfilter, было принято решение о переводе семейства программ iptables (включая ip6tables, arptables и ebtables) в разряд устаревших, что отразится в именах соответствующих бинарных файлов:
/sbin/iptables-legacy /sbin/iptables-legacy-save /sbin/iptables-legacy-restore /sbin/ip6tables-legacy /sbin/ip6tables-legacy-save /sbin/ip6tables-legacy-restore /sbin/arptables-legacy /sbin/ebtables-legacy
Показать
Место оригинальных исполняемых файлов займут программы, ранее именовавшиеся «compat» (например, iptables-compat): они имеют такой же синтаксис командной строки, однако транслируют полученные правила не в блобы ip_tables, а в BPF-программы nf_tables. Таким образом, будет осуществлён прозрачный переход с iptables на nftables, оставляющий возможность использования legacy-инструментов в случае каких-либо проблем. Тем не менее, пользователям настоятельно рекомендуется мигрировать на штатный формат правил nftables. Для этого они могут воспользоваться автоматическими трансляторами, в частности, iptables-translate.
Разработчики Netfilter уже достигли договоренности об отражении соответствующих изменений в дистрибутивах RedHat, Fedora, CentOS, SUSE, Debian и производных от них. Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.