Linux terus berkembang, termasuk dalam hal keamanan jaringan. Jika dahulu administrator sistem mengandalkan iptables sebagai firewall utama, kini banyak distribusi Linux modern telah beralih ke nftables sebagai solusi standar.
Debian 10+, Ubuntu 20.04+, Rocky Linux, AlmaLinux, dan berbagai distro modern lainnya mulai menjadikan nftables sebagai fondasi firewall yang lebih efisien, fleksibel, dan mudah dikelola.
Bagi administrator server, engineer jaringan, maupun pengguna Linux yang ingin meningkatkan keamanan sistem, memahami nftables merupakan keterampilan yang semakin penting.
Apa Itu nftables?
nftables adalah framework firewall modern yang diperkenalkan pada kernel Linux untuk menggantikan iptables, ip6tables, arptables, dan ebtables.
Tujuannya adalah menyederhanakan manajemen aturan firewall dengan pendekatan yang lebih konsisten dan mudah dibaca.
Berbeda dengan iptables yang sering membutuhkan banyak perintah terpisah, nftables memungkinkan seluruh konfigurasi firewall disimpan dalam satu file konfigurasi yang terstruktur.
Keuntungan utamanya meliputi:
- Konfigurasi lebih bersih
- Syntax lebih sederhana
- Mendukung IPv4 dan IPv6 secara bersamaan
- Atomic update
- Dukungan sets dan maps
- Performa lebih baik pada ruleset besar
Mengapa nftables Menggantikan iptables?
Selama bertahun-tahun iptables menjadi standar firewall Linux. Namun seiring meningkatnya kompleksitas kebutuhan jaringan, beberapa keterbatasan mulai terasa.
1. Struktur Konfigurasi Lebih Rapi
Pada iptables, aturan firewall sering tersebar dalam banyak command.
Di nftables, semuanya dapat disimpan dalam satu file konfigurasi.
Contoh:
table inet filter {
chain input {
type filter hook input priority 0;
policy drop;
iif lo accept;
ct state established,related accept;
tcp dport {22,80,443} accept;
}
}
Konfigurasi tersebut jauh lebih mudah dibaca dibandingkan puluhan command iptables.
2. Atomic Update
Saat melakukan perubahan pada iptables, aturan diterapkan satu per satu.
nftables menggunakan sistem atomic update yang memungkinkan seluruh ruleset diterapkan sekaligus.
Keuntungan:
- Mengurangi risiko kesalahan konfigurasi
- Tidak ada kondisi firewall setengah aktif
- Lebih aman untuk server produksi
3. Support Sets
nftables memungkinkan penggunaan kumpulan data (sets).
Contoh:
set allowed_ports {
type inet_service
elements = {22,80,443,8080}
}
Kemudian cukup memanggil:
tcp dport @allowed_ports accept
Pendekatan ini membuat konfigurasi jauh lebih ringkas.
4. Dukungan IPv4 dan IPv6 Bersamaan
Dengan family inet, satu ruleset dapat digunakan untuk IPv4 dan IPv6 sekaligus.
Hal ini mengurangi duplikasi aturan yang sering terjadi pada iptables.
Struktur Dasar nftables
Dalam nftables terdapat tiga komponen utama:
Table
Table adalah wadah utama aturan firewall.
Contoh:
table inet filter
Chain
Chain menentukan kapan aturan dijalankan.
Contoh:
chain input
chain output
chain forward
Rule
Rule merupakan aturan yang akan diproses.
Contoh:
tcp dport 22 accept
Struktur hierarkinya:
Table
โโโ Chain
โโโ Rule
Contoh Konfigurasi Firewall Server Web
File konfigurasi:
/etc/nftables.conf
Isi konfigurasi:
table inet filter {
chain input {
type filter hook input priority 0;
policy drop;
iif lo accept;
ct state established,related accept;
tcp dport {22,80,443} accept;
}
}
Penjelasan:
| Rule | Fungsi |
|---|---|
| policy drop | Menolak semua koneksi yang tidak diizinkan |
| iif lo accept | Mengizinkan loopback |
| established,related | Mengizinkan koneksi yang sudah aktif |
| port 22 | SSH |
| port 80 | HTTP |
| port 443 | HTTPS |
Cara Menerapkan Konfigurasi nftables
Setelah membuat file konfigurasi:
sudo nft -f /etc/nftables.conf
Perintah tersebut akan memuat seluruh ruleset sekaligus.
Jika tidak ada error, aturan firewall langsung aktif.
Cara Melihat Ruleset Aktif
Untuk menampilkan seluruh aturan yang sedang berjalan:
sudo nft list ruleset
Output ini sangat membantu saat melakukan audit keamanan server.
Mengaktifkan nftables Saat Boot
Pada distribusi berbasis Debian atau Ubuntu:
sudo systemctl enable nftables
sudo systemctl start nftables
Verifikasi status:
sudo systemctl status nftables
Tips Keamanan Menggunakan nftables
Selalu Izinkan SSH Sebelum Policy Drop
Kesalahan yang sering terjadi adalah menutup akses SSH sendiri.
Pastikan port SSH telah diizinkan sebelum menerapkan policy drop.
Gunakan Default Deny
Prinsip terbaik firewall:
Tolak semuanya, lalu buka hanya yang dibutuhkan.
Simpan Backup Ruleset
Sebelum melakukan perubahan besar:
sudo nft list ruleset > backup-firewall.nft
Audit Firewall Secara Berkala
Lakukan pengecekan rutin:
sudo nft list ruleset
untuk memastikan tidak ada aturan yang tidak diperlukan.
Kapan Sebaiknya Beralih ke nftables?
Pertimbangkan migrasi jika:
- Mengelola server Linux modern
- Menggunakan Debian 10+, Ubuntu 20.04+, atau distro terbaru
- Ingin konfigurasi firewall lebih sederhana
- Membutuhkan dukungan IPv6 yang lebih baik
- Mengelola banyak rule firewall
Untuk instalasi baru, nftables hampir selalu menjadi pilihan yang lebih tepat dibanding iptables.
Kesimpulan
nftables merupakan generasi baru firewall Linux yang dirancang untuk menggantikan iptables dengan pendekatan yang lebih modern, efisien, dan mudah dipahami.
Dengan struktur table, chain, dan rule yang lebih rapi, dukungan atomic update, kemampuan sets, serta integrasi IPv4 dan IPv6 dalam satu konfigurasi, nftables menjadi solusi ideal untuk server Linux masa kini.
Bagi administrator sistem dan engineer jaringan, mempelajari nftables bukan lagi sekadar pilihan, melainkan investasi penting untuk membangun infrastruktur yang aman, scalable, dan mudah dikelola.
FAQ SEO
Apa itu nftables?
nftables adalah framework firewall Linux modern yang menggantikan iptables dengan konfigurasi yang lebih sederhana dan fleksibel.
Apakah nftables lebih baik daripada iptables?
Ya. nftables menawarkan syntax yang lebih bersih, atomic update, support sets, dan manajemen IPv4/IPv6 yang lebih mudah.
Apakah Ubuntu menggunakan nftables secara default?
Ubuntu 20.04 dan versi terbaru menggunakan backend nftables sebagai standar firewall modern.
Bagaimana cara melihat aturan nftables yang aktif?
Gunakan perintah:
nft list ruleset
Apakah nftables cocok untuk server produksi?
Sangat cocok. Banyak distribusi Linux modern menjadikannya firewall standar untuk lingkungan produksi.
Apakah nftables mendukung IPv6?
Ya. nftables mendukung IPv4 dan IPv6 dalam satu konfigurasi menggunakan family inet.
“Firewall yang baik bukan sekadar memblokir akses, tetapi memastikan hanya lalu lintas yang tepat yang bisa masuk.”
Sudah mulai menggunakan nftables di server Linux Anda?
Bagikan pengalaman Anda di kolom komentar, share artikel ini kepada rekan sysadmin atau administrator jaringan lainnya, dan jangan lupa subscribe untuk mendapatkan panduan Linux Server, DevOps, Networking, dan Cyber Security terbaru.
Baca juga artikel terkait lainnya untuk meningkatkan keamanan dan performa infrastruktur Linux Anda.
