Ubuntu 24.04 Nftables サービスを有効化する方法

2024年8月13日

環境
Ubuntu 24.04

概要
nftables は、従来の iptables, ip6tables, arptables, ebtables の機能を統合したツールです。

1.nftables は UFW のデフォルトのバックエンドとして使用されています。

# update-alternatives --config iptables
There are 2 choices for the alternative iptables (providing /usr/sbin/iptables).

  Selection    Path                       Priority   Status
------------------------------------------------------------
* 0            /usr/sbin/iptables-nft      20        auto mode
  1            /usr/sbin/iptables-legacy   10        manual mode
  2            /usr/sbin/iptables-nft      20        manual mode

Press <enter> to keep the current choice[*], or type selection number:

2.nftables を直接使用する場合は、フロントエンドの UFW サービスは無効化します。

# systemctl disable --now ufw
Synchronizing state of ufw.service with SysV service script with /usr/lib/systemd/systemd-sysv-install.
Executing: /usr/lib/systemd/systemd-sysv-install disable ufw
Removed "/etc/systemd/system/multi-user.target.wants/ufw.service".

自動起動を設定します

# systemctl enable --now nftables
Created symlink /etc/systemd/system/sysinit.target.wants/nftables.service → /usr/lib/systemd/system/nftables.service.

[nftables.service] は起動時に [/etc/nftables.conf] を読み込んでルールセットを復元するサービス
# systemctl cat nftables.service

内容確認

# /usr/lib/systemd/system/nftables.service
[Unit]
Description=nftables
Documentation=man:nft(8) http://wiki.nftables.org
Wants=network-pre.target
Before=network-pre.target shutdown.target
Conflicts=shutdown.target
DefaultDependencies=no

[Service]
Type=oneshot
RemainAfterExit=yes
StandardInput=null
ProtectSystem=full
ProtectHome=true
ExecStart=/usr/sbin/nft -f /etc/nftables.conf
ExecReload=/usr/sbin/nft -f /etc/nftables.conf
ExecStop=/usr/sbin/nft flush ruleset

[Install]
WantedBy=sysinit.target

[/etc/nftables.conf] はデフォルトではフィルタリングの設定なし
# cat /etc/nftables.conf

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
        chain input {
                type filter hook input priority filter;
        }
        chain forward {
                type filter hook forward priority filter;
        }
        chain output {
                type filter hook output priority filter;
        }
}

3.UFW に設定したルールセットを引き継いで nftables サービスに切り替えたい合は、以下のように設定します。
UFW の現在の設定確認

# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere
80/tcp                     ALLOW IN    Anywhere
2049/tcp                   ALLOW IN    Anywhere
22/tcp (v6)                ALLOW IN    Anywhere (v6)
80/tcp (v6)                ALLOW IN    Anywhere (v6)
2049/tcp (v6)              ALLOW IN    Anywhere (v6)

現在のルールセットを [/etc/nftables.conf] に書き出す

# iptables-save > ufw-rules.dump
# iptables-restore-translate -f ufw-rules.dump > ruleset.nft
# nft flush ruleset
# nft -f ruleset.nft
# nft list ruleset > /etc/nftables.conf

ufw サービス停止 & nftables サービス起動

# systemctl disable --now ufw
# systemctl enable --now nftables

ルールセット表示
# nft list ruleset
結果

table ip filter {
        chain INPUT {
                type filter hook input priority filter; policy drop;
                counter packets 0 bytes 0 jump ufw-before-logging-input
                counter packets 0 bytes 0 jump ufw-before-input
                counter packets 0 bytes 0 jump ufw-after-input
                counter packets 0 bytes 0 jump ufw-after-logging-input