NFtables est un “framework” (une infrastructure logicielle ?) développé au sein du projet Netfilter qui procure le filtrage de paquets, la translation d'adresses et d'autres “bricolages” sur les paquets.

C'est le successeur d'IPtables qui, de l'aveu même de son concepteur, était mal écrit et peu optimisé. Il utilise le sous-système nf_tables du “kernel”. Debian adopte par défaut ce «framework» depuis «Buster» (Debian 10) mais comme d'habitude dans cette distribution, la transition va se faire en douceur. En effet, les commandes iptables seront toujours utilisables, mais aussi ip6tables, arptables et ebtables. C'est encore le cas à ce jour (26/03/2025) avec «Bookworm» (Debian 12) et se trouve encore sur «Trixie», encore «Testing» lorsque ces lignes ont commencé à être rédigées. Trixie est stable depuis le 9 août 2025.

Juste un mot sur ces outils qui ne sont pas évoqués ailleurs sur ce site:

1. ip6tabes est assez facile à deviner, c'est pareil que iptables mais pour IPv6;
2. arptables Arptables est utilisé pour configurer, maintenir et inspecter les tables de règles ARP dans le noyau Linux. Il est analogue à iptables mais fonctionne au niveau ARP plutôt que IP.(définition donnée dans le paquet “arptables”);
3. ebtables est utilisé pour configurer, maintenir et inspecter les tables de règles de filtrage des trames ethernet. Il est analogue à iptables mais fonctionne au niveau de la couche ethernet plutôt que la couche IP.(définition donnée dans le paquet “ebtables”).

L'ensemble de ces outils, iptables compris, repose sur le module kernel x_tables

L’objet de ce chapitre et de montrer comment utiliser pleinement ce “framework” avec l'outil nft et la nouvelle syntaxe pour les règles. Notons tout de suite que nftables dispose d'un outil unique nft qui permet de gérer des règles concernant aussi bien IP qu'IPv6, ARP ou ethernet.