nftables est le successeur d'iptables. Il est intégré aux noyaux >= 3.13 depuis 2014. Les distributions récentes fournissent par défaut nftables et sauf spécificité il est recommandé de migrer vers nftable.

Principales différences:

• iptables certaines tables sont présentes par défaut, ce n'est pas le cas pour nftables;
• iptables ne permet de définir qu'une cible par règle. Avec nftables plusieurs actions peuvent être associées à une règle;
• nftables inclus la gestion des ensembles (sets).
• le framework iptables proposait des outils dédiés par familles de protocoles (iptables,ip6tables, arptables,ebtables). ntables permet de gérer les différentes famille au sein d'un même CLI.

nft est la CLI permettant de définir les règles. Elle interprète les caractères spéciaux tels que l'accolade ou le point virgule également interprétés par le shell. Si nft est invoqué depuis le bash il faudra donc échapper les caractères spéciaux.

On peut également invoquer nft en mode interactif via l'option -i. En fonctionnant dans ce mode il devient inutile d'échapper les caractère spéciaux.

nft --handle --interactive
 
# équivalents
nft -a -i
 
nft -ai

# nft depuis le bash :  les caractères spéciaux doivent être échappés
nft 'add chain ip my_iptable input_chain { type filter hook input priority 0 ; policy drop ; comment "text comment" ;}'

Les modifications apportées depuis nft s'appliquent immédiatement mais ne seront pas sauvegardées après redémarrage.

• https://nftables.org/
• https://wiki.nftables.org/wiki-nftables/index.php/Rejecting_traffic
• https://www.linuxembedded.fr/2022/06/introduction-a-nftables
• https://blog.debugo.fr/nftables-serie-tutos/
• https://wiki.csnu.org/index.php/Nftables
• https://www.youtube.com/watch?v=EGKhIljDPCw