18.5. ファイアウォール
ipset
パッケージおよび iptables-nft
パッケージが非推奨となる
RHEL では、ipset
パッケージおよび iptables-nft
パッケージが非推奨になりました。iptables-nft
には、iptable
、ip6tables
、ebtables
、arptables
などのさまざまなツールが同梱されています。このようなツールには新しい機能がなくなり、新しいデプロイメントに使用することは推奨されません。代わりに、nftable
パッケージが提供する nft
コマンドラインツールを使用することが推奨されます。既存の設定は、できる限り nft
に移行する必要があります。
nftables への移行の詳細は、Migrating from iptables to nftables と、iptables-translate(8)
およびip6tables-translate(8)
の man ページを参照してください。
サポートされていない xt_u32
Netfilter モジュールは削除されました
RHEL 8 には、サポートされていない xt_u32
モジュールが含まれていました。これにより、iptables
ユーザーはパケットヘッダーまたはペイロードの任意の 32 ビットにマッチできます。このモジュールは RHEL 9 から削除されました。代わりに、nftables
パケットフィルタリングフレームワークを使用します。nftable
にネイティブマッチが存在しない場合は、nftable
の raw ペイロードマッチング機能を使用します。詳細は、nft(8)
man ページの raw ペイロード表現
セクションを参照してください。