iptables vs nftables

iptables ist seit Jahrzehnten das Standard-Firewall-Tool unter Linux. nftables ist der Nachfolger und seit Debian 10 und Ubuntu 20.04 der Standard. Die Frage ist ob man noch iptables lernen oder gleich auf nftables setzen soll.

Aktueller Stand

Auf modernen Systemen ist iptables meist nur noch ein Wrapper der intern auf nftables umleitet.

iptables --version

Steht da nf_tables ist iptables bereits ein Kompatibilitätslayer.

Warum nftables

Ein einziges Tool statt iptables, ip6tables, arptables und ebtables separat.
Bessere Performance bei vielen Regeln.
Lesbarere Syntax.

Grundlegende nftables-Konfiguration

sudo nft list ruleset

Zeigt die aktuellen Regeln.

Eine einfache Firewall in nftables.

sudo nft add table inet filter
sudo nft add chain inet filter input  '{ type filter hook input priority 0; policy drop; }'
sudo nft add chain inet filter output '{ type filter hook output priority 0; policy accept; }'

# Loopback erlauben
sudo nft add rule inet filter input iif lo accept

# bestehende Verbindungen erlauben
sudo nft add rule inet filter input ct state established,related accept

# SSH erlauben
sudo nft add rule inet filter input tcp dport 22 accept

# HTTP und HTTPS
sudo nft add rule inet filter input tcp dport { 80, 443 } accept

Meine Empfehlung

Wer heute einen neuen Server einrichtet sollte gleich nftables nutzen.
Wer bestehende Systeme betreibt auf denen iptables läuft und alles funktioniert — keinen Grund es anzufassen.
UFW bleibt als einfaches Frontend trotzdem die unkomplizierteste Option für die meisten Anwendungsfälle.