18.5. ファイアウォール

ipset パッケージおよび iptables-nft パッケージが非推奨となる

RHEL では、ipset パッケージおよび iptables-nft パッケージが非推奨になりました。iptables-nft には、iptable、ip6tables、ebtables、arptables などのさまざまなツールが同梱されています。このようなツールには新しい機能がなくなり、新しいデプロイメントに使用することは推奨されません。代わりに、nftable パッケージが提供する nft コマンドラインツールを使用することが推奨されます。既存の設定は、できる限り nft に移行する必要があります。

サポートされていない xt_u32 Netfilter モジュールは削除されました

RHEL 8 には、サポートされていない xt_u32 モジュールが含まれていました。これにより、iptables ユーザーはパケットヘッダーまたはペイロードの任意の 32 ビットにマッチできます。このモジュールは RHEL 9 から削除されました。代わりに、nftables パケットフィルタリングフレームワークを使用します。nftable にネイティブマッチが存在しない場合は、nftable の raw ペイロードマッチング機能を使用します。詳細は、nft(8) man ページの raw ペイロード表現 セクションを参照してください。