Následující и Vývojáři Ubuntu přepnout na výchozí paketový filtr .
Pro zachování zpětné kompatibility se doporučuje používat balíček , který poskytuje nástroje se stejnou syntaxí příkazového řádku jako iptables, ale převádí výsledná pravidla do bajtového kódu nf_tables. Změna se plánuje zahrnout do podzimního vydání Ubuntu 20.10.
Toto je druhý pokus o migraci Ubuntu na nftables. První pokus proběhl loni, ale byl zamítnut kvůli nekompatibilitě se sadou nástrojů . Nyní již v LXD nativní podpora pro nftables a může pracovat s novým backendem pro filtrování paketů. Pro uživatele, kteří nemají dostatečnou vrstvu kompatibility, schopnost instalovat klasické utility iptables, ip6tables, arptables a ebtables se starým backendem.
Připomeňte si to v paketovém filtru Rozhraní pro filtrování paketů pro IPv4, IPv6, ARP a síťové mosty byla sjednocena. Balíček nftables obsahuje komponenty paketového filtru, které běží v uživatelském prostoru, zatímco práci na úrovni jádra zajišťuje subsystém nf_tables, který je součástí linuxového jádra od vydání 3.13. Úroveň jádra poskytuje pouze generické rozhraní nezávislé na protokolu, které poskytuje základní funkce pro extrakci dat z paketů, provádění operací s daty a řízení toku.
Filtrovací pravidla a obslužné rutiny specifické pro protokol jsou zkompilovány do bajtového kódu v uživatelském prostoru, poté je tento bajtový kód načten do jádra pomocí rozhraní Netlink a spuštěn v jádře ve speciálním virtuálním stroji připomínajícím BPF (Berkeley Packet Filters). Tento přístup umožňuje výrazně zmenšit velikost filtrovacího kódu běžícího na úrovni jádra a přesunout všechny funkce parsovacích pravidel a logiky pro práci s protokoly do uživatelského prostoru.
Zdroj: opennet.ru