Successeur d'iptables, plus performant et expressif, default RHEL 8+/Ubuntu 22.04+.
nftables est le successeur moderne d'iptables, intégré au kernel Linux depuis 3.13 (2014), default backend sur RHEL 8+, Debian 10+, Ubuntu 20.04+. Améliore iptables sur performance, syntax, et features. Utilise le même framework netfilter underlying.
Avantages vs iptables : (1) **unified syntax IPv4/IPv6** (vs iptables/ip6tables separate) ; (2) **sets et maps natifs** — efficient lookups O(log n) vs iptables linear ; (3) **atomic updates** (no temporary inconsistent state during reload) ; (4) **JSON output** parseable ; (5) **expression** plus puissants (concatenations, intervals) ; (6) **netdev family** — egress filtering ingress on devices ; (7) **better performance** sur règles complexes.
Syntax exemple :
```
table inet myfirewall {
chain input {
type filter hook input priority filter;
ct state established,related accept
iif lo accept
tcp dport { ssh, http, https } accept
drop
}
}
```
Utilisations CLI : (1) `nft list ruleset` — show all rules ; (2) `nft -f /etc/nftables.conf` — load config ; (3) `nft add rule inet myfirewall input tcp dport 8080 accept` — add rule ; (4) `nft list table inet myfirewall` ; (5) `nft delete rule ...`.
Migration depuis iptables : (1) `iptables-translate` génère équivalent nft ; (2) compat layer `iptables-nft` (vos commandes iptables fonctionnent sur backend nftables) ; (3) firewalld (RHEL) et ufw (Ubuntu) handle abstraction.
Cloud-native era : nftables encore relevant pour host firewalls, mais Kubernetes networking moves vers eBPF (Cilium, Calico eBPF) ou IPVS+nftables hybrid. Compétences RHCSA (RHEL 9), CKS.
200+ certifications, 400 000+ questions, examens blancs chronométrés.
Voir le catalogue →