Ну в прямом. Раньше по умолчанию был iptables, nftables можно было задействовать по желанию. Теперь по умолчанию nftables, а команды iptables из соображений совместимости транслируются в команды nftables через обертку.
Ну нет же. netfilter не может быть «вместо» iptables, т. к. и iptables, и nftables, и *tables — это высокоуровневые интерфейсы к netfilter.
В любом случае тут правильно написали, что в ядре iptables и nftables сосуществуют на равных и выкидывать их никто вроде бы не собирается. «Дефолта» тоже как такового нет, ты можешь пользоваться чем считаешь нужным (в т. ч. по транзитивности). А вот обёртки — да, в некоторых случаях команда iptables будет обёрткой к подсистеме nftables. Но это всё строго в юзерспейсе.
Как хорошо быть тобой. Сам придумал какую-то ахинею и сам ее тут же опроверг.
т. к. и iptables, и nftables, и *tables — это высокоуровневые интерфейсы к netfilter.
Высокоуровневые юзерспейсные интерфейсы к netfilter это действительно iptables, ip6tables, ebtables, arptables. А nftables это фреймворк, который состоит из ядерной части, либы, юзерспейсной утилиты nft и костылей для совместимости с юзерспейсными интерфейсами к netfilter. В остальном ты правильно за другими повторил, что обе системы в ядре параллельно, без всяких «дефолтов».
Тебе кто-то нахамил в автобусе? Чего такой агрессивный?
netfilter не может быть «вместо» iptables
Как хорошо быть тобой. Сам придумал какую-то ахинею и сам ее тут же опроверг.
Пардон, не iptables, а nftables. Netfilter не может быть «вместо» nftables.
Высокоуровневые юзерспейсные интерфейсы к netfilter это действительно iptables, ip6tables, ebtables, arptables. А nftables это фреймворк, который состоит из ядерной части…
…которая называется Netfilter:
CONFIG_NF_TABLES:
nftables is the new packet classification framework that intends to
replace the existing {ip,ip6,arp,eb}_tables infrastructure. It
provides a pseudo-state machine with an extensible instruction-set
(also known as expressions) that the userspace 'nft' utility
(http://www.netfilter.org/projects/nftables) uses to build the
rule-set. It also comes with the generic set infrastructure that
allows you to construct mappings between matchings and actions
for performance lookups.
To compile it as a module, choose M here.
Symbol: NF_TABLES [=y]
Type : tristate
Prompt: Netfilter nf_tables support
Location:
-> Networking support (NET [=y])
-> Networking options
-> Network packet filtering framework (Netfilter) (NETFILTER [=y])
-> Core Netfilter Configuration
Defined at net/netfilter/Kconfig:442
Depends on: NET [=y] && INET [=y] && NETFILTER [=y]
Selects: NETFILTER_NETLINK [=m]