nftables

防御技術

Linux標準のパケットフィルタリングフレームワーク。iptablesの後継。

概要

nftablesは、Linuxカーネルに標準搭載されているパケットフィルタリング・ファイアウォール機能のフレームワークです。長年使われてきたiptablesの後継として、より統一的な構文・効率的なルール処理・動的なセット管理を提供します。Debian 10以降・RHEL 8以降では標準ファイアウォール基盤となっています。

iptablesと比較した利点として、(1) IPv4/IPv6を統一的に扱える、(2) ルール変更がアトミックに反映され既存接続を切断しない、(3) timeout付きのdynamic setにより「一定時間後に自動解除されるブロック」を効率的に表現できる、(4) ルール数が増えても性能が劣化しにくい、があります。

実運用では、SSHブルートフォース対策・Web攻撃の自動遮断・既知の悪性IPブロック等で活用されます。`nft add element ... timeout 1h` のような書き方で、TTL付きの動的ブロックリストを簡潔に管理できる点が、自動化されたセキュリティ運用との相性の良さを示しています。

Scanrollはこう守る

Scanrollは、検知した攻撃者IPの自動ブロックにnftablesのdynamic setを利用しています。脅威の種類(ブルートフォース・SQLi・DoS等)ごとに適切なTTLを設定し、ブロックされたIPは時間経過で自動的に解除されるため、誤検知の影響を最小化しつつ強力な防御を実現します。