11.5. firewall
ipset 和 iptables-nft 软件包已弃用
RHEL 中弃用了 ipset 和 iptables-nft 软件包。iptables-nft 软件包包含不同的工具,如 iptables、ip6tables、ebtables 和 arptables。这些工具将不再获得新功能,我们不建议将其用于新部署。建议使用 nftables 软件包提供的 nft 命令行工具替换它。现有设置应尽可能迁移到 nft。
有关迁移到 nftables 的更多信息,请参阅 从 iptables 迁移到 nftables ,以及 iptables-translate (8) 和 ip6tables-translate (8) 手册页。
不受支持的 xt_u32 Netfilter 模块已被删除
RHEL 8 包含不受支持的 xt_u32 模块,它可以使 iptables 用户与数据包标头或有效负载中的任意 32 位匹配。此模块已从 RHEL 9 中删除。作为替换,使用 nftables 数据包过滤框架。如果 nftables 中不存在原生匹配,请使用 nftables 的原始有效负载匹配功能。详情请查看 nft(8) 手册页中 原始有效负载表达式 部分。
