nftables（次世代パケットフィルタ）とは何ですか？

Linuxカーネルのパケットフィルタリングフレームワーク。iptablesの後継として設計され、より統一的で効率的なファイアウォールルール管理を提供します。

nftables（次世代パケットフィルタ）のポイントは？

iptables/ip6tables/arptables/ebtablesを一つのフレームワークに統合。テーブル・チェイン・ルールの構造で柔軟にフィルタリングルールを定義。nftコマンドで設定を行い、スクリプトの読みやすさが向上。RHEL 8以降やDebian 10以降で標準のパケットフィルタとなっている

【エヌエフテーブルズ】

nftables（次世代パケットフィルタ）とは？

💡 iptablesを進化させたLinuxファイアウォールの新標準

📌 このページのポイント

iptables/ip6tables/arptables/ebtablesを一つのフレームワークに統合
テーブル・チェイン・ルールの構造で柔軟にフィルタリングルールを定義
nftコマンドで設定を行い、スクリプトの読みやすさが向上
RHEL 8以降やDebian 10以降で標準のパケットフィルタとなっている

nftables のルール構造のイメージ

ひよこ

iptablesで十分じゃないの？なんでnftablesが必要なの？

ペンギン先生

iptablesは長年使われてきたけど、IPv4用のiptables、IPv6用のip6tables、MACアドレス用のebtablesとバラバラだったんだ。nftablesはこれを一つに統合して、設定もずっとシンプルにしたんだよ。

ひよこ

設定の書き方はどう違うの？

ペンギン先生

iptablesは「iptables -A INPUT -p tcp --dport 80 -j ACCEPT」のように長いコマンドを1行ずつ追加する方式だった。nftablesは「nft add rule inet filter input tcp dport 80 accept」のように、より自然な文法で書けるし、設定ファイルにまとめて書くこともできるよ。

ひよこ

既存のiptablesのルールはどうなるの？

ペンギン先生

iptables-nft という互換レイヤーがあって、iptablesのコマンドをそのまま使いつつ裏側はnftablesで動かすことができるよ。移行期間として多くのディストリビューションがこの方式を採用しているんだ。

ひよこ

実務で直接nftablesを触ることはある？

ペンギン先生

正直なところ、ufwやfirewalldといった上位のツールを通して使うことが多いかな。でもそれらの裏側で動いているのがnftablesだから、トラブル時に中身を理解していると強いよ。特にパフォーマンスが求められる環境では、nftablesのセット（集合）機能を使って何千ものIPアドレスを高速にフィルタリングできるのが大きな利点なんだ。

まとめ：ざっくりこれだけ覚えればOK！

「nftables」って出てきたら「iptablesの後継となるLinuxのファイアウォール基盤」と思えればだいたいOK！

📖 おまけ：英語の意味

「nf tables (netfilter tables)」＝ネットフィルターテーブル

💬 Linuxのnetfilterフレームワーク上で動作するテーブル形式のフィルタだよ

← 用語集にもどる

nftables（次世代パケットフィルタ） とは？

nftables（次世代パケットフィルタ）とは？