僕の備忘録(PC、UN*X、ネットワーク関連が中心)なんです。
自分の書いたところは適当(な時とか)に書き換えますので御了承を。
登場は2009年頃、
カーネルで使えるようになったのは5年前らしい。
ここ1、2年くらいでようやく。
busterなどでは既にiptableを置き換えて、互換レイヤで
処理しているらしい。
$ /sbin/iptables --version iptables v1.8.2 (nf_tables)
アクセス制限やNATを定義したiptablesの設定を 食わせて、nft list で出したりしてみる。
$ sudo nft list tables table ip mangle table ip nat table ip filter
$ sudo nft list chains
で、mangle、nat、filterの各チェインが出てきた。
table ip filter {
chain INPUT {
type filter hook input priority 0; policy accept;
}
chain FORWARD {
type filter hook forward priority 0; policy drop;
}
chain OUTPUT {
type filter hook output priority 0; policy accept;
}
chain f2b-sshd {
}
}
のように。
$ sudo nft list ruleset
で全部が一度にどっと。
蛇足ながら...
$ ls -alF `man -w iptables` -rw-r--r-- 1 root root 9162 1月 4 2019 /usr/share/man/ja/man8/iptables.8.gz $ ls -alF `man -w nft` -rw-r--r-- 1 root root 22515 12月 3 2018 /usr/share/man/man8/nft.8.gz
で、SMTPのTLSをチェックしてみた。もちろん自分の 仮メールサーバに向けて、である。
$ openssl s_client -connect $MY_TEST_MSERVER:587 -starttls smtp CONNECTED(00000003) --- Certificate chain 0 s:CN = $MY_TEST_MSERVER i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 1 s:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 i:O = Digital Signature Trust Co., CN = DST Root CA X3 --- Server certificate -----BEGIN CERTIFICATE----- (以下略
$ grep TLS $OPENSSL_LOG
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Protocol : TLSv1.3
Cipher : TLS_AES_256_GCM_SHA384
TLS session ticket lifetime hint: 7200 (seconds)
TLS session ticket:
TLSv1.3なのか。サーバ上で対応を確認。
$ openssl ciphers -v | grep v1.3 TLS_AES_256_GCM_SHA384 TLSv1.3 Kx=any Au=any Enc=AESGCM(256) Mac=AEAD TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any Au=any Enc=CHACHA20/POLY1305(256) Mac=AEAD TLS_AES_128_GCM_SHA256 TLSv1.3 Kx=any Au=any Enc=AESGCM(128) Mac=AEAD
リンクはご自由にどうぞ。でもURLや内容が変った場合はあしからず。