Опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.8, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости — iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nf_tables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов.

В новой версии:

• В утилиту iptables-translate, преобразующую правила iptables в наборы правил nftables, добавлена поддержка выражений connlimit и tcpmss, для блоков sctp и multiport реализована возможность использования опций «—chunk-types» и «—ports».
• Упрощён перевод в правила nftables блоков conntrack и опции «—tcp-flags».
• В libxtables запрещена работа при вызове из исполняемых файлов с флагом setuid.
• В утилите iptables-nft разрешено удаление встроенных цепочек.
• В iptables-nft добавлен парсер правил из утилиты arptables-nft.
• В утилите arptables-nft добавлена поддержка команд ‘-C’ и ‘-S’, реализована индексация правил для команд ‘-I’ и ‘-R’, добавлена поддержка синтаксиса счётчиков ‘-c N,M’.
• В таблицах *NAT прекращена поддержка указания разом нескольких диапазонов адресов IPv4.
• Реализована возможность включения отладочного вывода в iptables-restore, iptables-nft и ebtables-nft через повторное указание опции ‘-v’.
• Повышена производительность утилит iptables-save и iptables-restore.

Источник: http://www.opennet.ru/opennews/art.shtml?num=57188