在 debian 10 或 11 上切换回 iptables 的正确方法

Question 1

update-alternatives --set iptables /usr/sbin/iptables-legacy
update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
update-alternatives --set arptables /usr/sbin/arptables-legacy
update-alternatives --set ebtables /usr/sbin/ebtables-legacy

Answer

它记录在Debian 维基:

update-alternatives --set iptables /usr/sbin/iptables-legacy
update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
update-alternatives --set arptables /usr/sbin/arptables-legacy
update-alternatives --set ebtables /usr/sbin/ebtables-legacy

Question 2

我在 Debian 11 上切换回 iptables，执行以下操作：

安装ebtables,arp表

ebtables 和 arptables 的更改update-alternatives如下。下面是 arptables 的一个示例。只要安装了软件包，ebtables 的工作原理就相同。幸运的是，两个版本的二进制文件都包含“legacy”或“nft”

    update-alternatives --install /usr/sbin/arptables arptables /usr/sbin/arptables-legacy 10 --slave /usr/sbin/arptables-save arptables-save /usr/sbin/arptables-legacy-save --slave /usr/sbin/arptables-restore arptables-restore /usr/sbin/arptables-legacy-restore
    update-alternatives --install /usr/sbin/arptables arptables /usr/sbin/arptables-nft 20 --slave /usr/sbin/arptables-save arptables-save /usr/sbin/arptables-nft-save --slave /usr/sbin/arptables-restore arptables-restore /usr/sbin/arptables-nft-restore

如果您犯了一个拼写错误（像我一样），导致有关错误符号链接的错误消息，您可以使用以下命令手动删除更新替代配置：

rm /var/lib/dpkg/alternatives/arptables`

update-alternatives但我建议对每个操作都使用该命令。

您应该随后使用 .. 检查所有命令（iptables、ip6tables、ebtables、arptables）的 update-alternative。--display

更改后端/etc/firewalld/firewalld.conf：

    #FirewallBackend=nftables
    FirewallBackend=iptables

也许发出systemctl restart firewalld.service并重新启动以确保其有效。

Answer

我在 Debian 11 上切换回 iptables，执行以下操作：

安装ebtables,arp表

ebtables 和 arptables 的更改update-alternatives如下。下面是 arptables 的一个示例。只要安装了软件包，ebtables 的工作原理就相同。幸运的是，两个版本的二进制文件都包含“legacy”或“nft”

    update-alternatives --install /usr/sbin/arptables arptables /usr/sbin/arptables-legacy 10 --slave /usr/sbin/arptables-save arptables-save /usr/sbin/arptables-legacy-save --slave /usr/sbin/arptables-restore arptables-restore /usr/sbin/arptables-legacy-restore
    update-alternatives --install /usr/sbin/arptables arptables /usr/sbin/arptables-nft 20 --slave /usr/sbin/arptables-save arptables-save /usr/sbin/arptables-nft-save --slave /usr/sbin/arptables-restore arptables-restore /usr/sbin/arptables-nft-restore

如果您犯了一个拼写错误（像我一样），导致有关错误符号链接的错误消息，您可以使用以下命令手动删除更新替代配置：

rm /var/lib/dpkg/alternatives/arptables`

update-alternatives但我建议对每个操作都使用该命令。

您应该随后使用 .. 检查所有命令（iptables、ip6tables、ebtables、arptables）的 update-alternative。--display

更改后端/etc/firewalld/firewalld.conf：

    #FirewallBackend=nftables
    FirewallBackend=iptables

也许发出systemctl restart firewalld.service并重新启动以确保其有效。

Question 3

您仍然可以在 Debian 10 和 11 中使用 iptables。新 11（又名 Bullseye）部署上的默认配置不会安装 iptables，但可以轻松添加。

默认情况下，iptables 实用程序（iptables、iptables-save、ebtables 等）将实际配置 nftables 过滤器（并创建 nftables 规则）。所以iptables实际上是iptables-nft的链接。

netfilter-persistent 和 iptables 软件包仍然可用，提供 iptables-nft 和 iptables-legacy，请参阅：

# apt info iptables

如果您使用 iptables-nft，您只需加载 iptables 规则并列出它们即可。

# nft list ruleset

请注意 - 如果您使用 nftables 修改配置，则 iptables 将无法读取更改，因此您无法真正来回移动。

您正在采取正确的方法，不依赖自动转换并花时间研究新的网络过滤器。习惯新语法后，您可以创建更易于管理和操作的配置。

Answer