Linuxセキュリティ

iptablesとnftablesの比較と移行ガイド

Linuxのファイアウォールといえば、長らくiptablesが標準でした。しかし、近年では後継のnftablesへの移行が進んでいます。本記事では、iptablesとnftablesの違いを比較し、移行のメリットと具体的な手順を解説します。

iptablesは、LinuxカーネルのNetfilterフレームワークを操作する伝統的なファイアウォールツールです。パケットフィルタリング、NAT、パケット変更などをルールベースで設定します。多くのディストリビューションで長年使用されてきました。

nftablesは、iptablesの後継として開発された新しいパケットフィルタリングフレームワークです。よりシンプルでパフォーマンスに優れ、統一されたインターフェースを提供します。カーネル3.13以降で利用可能で、多くの最新ディストリビューションで標準となっています。

項目	iptables	nftables
設定構文	複数のツール（iptables, ip6tables, arptables, ebtables）	単一のnftコマンド
ルールセット	線形チェーン	辞書式（ハッシュテーブル）
パフォーマンス	ルール数が多いと低下	大規模ルールセットでも高速
プロトコル対応	IPv4/IPv6で別々	統合（1つのルールで両方対応）
デバッグ	ログ出力が複雑	トレース機能が充実
設定ファイル	/etc/sysconfig/iptablesなど	/etc/nftables.conf

nftablesは内部で辞書式のルックアップを使用するため、ルール数が増えてもパフォーマンスが維持されます。iptablesは線形探索のため、ルールが1000を超えると顕著な遅延が発生することがあります。

iptablesの例：

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

nftablesの例：

nft add rule inet filter input tcp dport 22 accept

nftablesではアドレスファミリ（inet）を指定し、IPv4/IPv6を統合できます。

パフォーマンス向上：大規模ルールセットで効果的

設定の簡素化：1つのツールで全プロトコル対応

保守性向上：ルールのセット単位での管理が容易

新しい機能：セット、マップ、フローオフロードなど

sudo iptables-save > /tmp/iptables-rules.txt

Debian/Ubuntu:

sudo apt install nftables

RHEL/CentOS 8以降:

sudo dnf install nftables

iptables-translateツールを使用:

iptables-translate -A INPUT -p tcp --dport 22 -j ACCEPT

出力例：nft add rule inet filter INPUT tcp dport 22 accept

一括変換にはiptables-restore-translate:

sudo iptables-restore-translate -f /tmp/iptables-rules.txt > /etc/nftables.conf

sudo systemctl enable nftables
sudo systemctl start nftables
sudo systemctl disable iptables
sudo systemctl stop iptables

sudo nft list ruleset

移行後は既存のiptablesルールが無効になるため、テスト環境で十分に検証してください。

一部のiptables拡張（例えば、conntrackの特定の機能）はnftablesで同等の機能がない場合があります。

移行ツールは完全ではないため、手動で調整が必要な場合があります。

*この記事はArch Linux/btrfs/LUKs環境で実際に検証した内容を基にしています。セキュリティ設定は環境によって異なるため、本番環境への適用前に必ずテスト環境で検証してください。*

nftablesはiptablesの後継として、パフォーマンス、柔軟性、保守性で優れています。特に新しいシステムでは積極的に採用すべきです。移行は計画的に行えば比較的スムーズですが、複雑なルールセットの場合は十分なテストが重要です。

この機会に、あなたのLinuxファイアウォールをnftablesに移行してみてはいかがでしょうか。