Ubuntu 20.10 планира да премине от iptables към nftables

Следване Fedora и Debian Разработчици на Ubuntu обмислят възможността превключете към пакетен филтър по подразбиране nftables.
За да поддържате обратна съвместимост, се препоръчва да използвате пакета iptables-nft, който предоставя помощни програми със същия синтаксис на командния ред като iptables, но превежда получените правила в байткод nf_tables. Промяната се планира да бъде включена в есенното издание на Ubuntu 20.10.

Това е вторият опит за мигриране на Ubuntu към nftables. Първият опит беше направен миналата година, но беше отхвърлен поради несъвместимост с инструментариума LXD. Вече в LXD е на разположение вградена поддръжка за nftables и може да работи с новия бекенд за филтриране на пакети. За потребители, които нямат достатъчно слой за съвместимост, изоставен възможност за инсталиране на класически помощни програми iptables, ip6tables, arptables и ebtables със стария бекенд.

Припомнете си това във филтър за пакети nftables Интерфейсите за филтриране на пакети за IPv4, IPv6, ARP и мрежови мостове са унифицирани. Пакетът nftables включва компоненти за филтриране на пакети, които работят в потребителското пространство, докато работата на ниво ядро ​​се осигурява от подсистемата nf_tables, която е част от ядрото на Linux от версия 3.13. Нивото на ядрото предоставя само общ интерфейс, независим от протокола, който осигурява основни функции за извличане на данни от пакети, извършване на операции с данни и контрол на потока.

Самите правила за филтриране и специфичните за протокола манипулатори се компилират в байт код на потребителското пространство, след което този байт код се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в ядрото в специална виртуална машина, наподобяваща BPF (Berkeley Packet Filters). Този подход прави възможно значително намаляване на размера на филтриращия код, работещ на ниво ядро, и преместване на всички функции на правилата за анализ и логиката на работа с протоколи в потребителското пространство.

Източник: opennet.ru