Следам за и распрацоўшчыкі Ubuntu пераходу на выкарыстанне па змаўчанні пакетнага фільтра .
Для захавання зваротнай сумяшчальнасці прапануецца выкарыстоўваць пакет , які прадстаўляе ўтыліты з тым жа сінтаксісам каманднага радка, як і ў iptables, але які транслюе атрыманыя правілы ў байткод nf_tables. Змяненне плануецца ўключыць у склад восеньскага выпуску Ubuntu 20.10.
Гэта другая спроба пераходу Ubuntu на nftables. Першая спроба была зроблена ў мінулым годзе, але была адхілена з-за несумяшчальнасці з інструментарыем . Цяпер у LXD ужо убудаваная падтрымка nftables і ён можа працаваць з новым бэкенд для фільтрацыі пакетаў. Для карыстальнікаў, якім недастаткова праслойкі для забеспячэння сумяшчальнасці, магчымасць усталёўкі класічных утыліт iptables, ip6tables, arptables і ebtables са старым бэкэндам.
Нагадаем, што ў пакетным фільтры уніфікаваны інтэрфейсы фільтрацыі пакетаў для IPv4, IPv6, ARP і сеткавых мастоў. У пакет nftables уваходзяць кампаненты пакетнага фільтра, якія працуюць у прасторы карыстача, у той час як на ўзроўні ядра працу забяспечвае падсістэма nf_tables, уваходная ў склад ядра Linux пачынальна з выпуску 3.13. На ўзроўні ядра падаецца толькі агульны інтэрфейс, які не залежыць ад канкрэтнага пратакола і які прадстаўляе базавыя функцыі вымання дадзеных з пакетаў, выкананні аперацый з дадзенымі і кіраванні струменем.
Непасрэдна правілы фільтрацыі і спецыфічныя для пратаколаў апрацоўшчыкі кампілююцца ў байткод у прасторы карыстача, пасля чаго дадзены байткод загружаецца ў ядро пры дапамозе інтэрфейсу Netlink і выконваецца ў ядры ў адмысловай віртуальнай машыне, якая нагадвае BPF (Berkeley Packet Filters). Падобны падыход дазваляе значна скараціць памер кода фільтрацыі, які працуе на ўзроўні ядра і вынесці ўсе функцыі разбору правіл і логікі працы з пратаколамі ў прастору карыстача.
Крыніца: opennet.ru