Følge и Ubuntu udviklere skifte til standardpakkefilter .
For at opretholde bagudkompatibilitet anbefales det at bruge pakken , som giver hjælpeprogrammer den samme kommandolinjesyntaks som iptables, men oversætter de resulterende regler til nf_tables bytecode. Ændringen er planlagt til at blive inkluderet i efterårets udgivelse af Ubuntu 20.10.
Dette er det andet forsøg på at migrere Ubuntu til nftables. Det første forsøg blev gjort sidste år, men blev afvist på grund af inkompatibilitet med værktøjskassen . Nu i LXD allerede indbygget understøttelse af nftables, og det kan fungere med den nye pakkefiltreringsbackend. For brugere, der ikke har nok kompatibilitetslag, mulighed for at installere klassiske hjælpeprogrammer iptables, ip6tables, arptables og ebtables med den gamle backend.
Husk det i et pakkefilter Pakkefiltreringsgrænseflader til IPv4, IPv6, ARP og netværksbroer er blevet forenet. nftables-pakken inkluderer pakkefilterkomponenter, der kører i brugerrum, mens arbejdet på kerneniveau leveres af nf_tables-undersystemet, som har været en del af Linux-kernen siden release 3.13. Kerneniveauet giver kun en generisk protokol-uafhængig grænseflade, der giver grundlæggende funktioner til at udtrække data fra pakker, udføre dataoperationer og flowkontrol.
Selve filtreringsreglerne og protokol-specifikke handlere kompileres til brugerrumsbytekode, hvorefter denne bytekode indlæses i kernen ved hjælp af Netlink-grænsefladen og eksekveres i kernen i en speciel virtuel maskine, der ligner BPF (Berkeley Packet Filters). Denne tilgang gør det muligt betydeligt at reducere størrelsen af den filtreringskode, der kører på kerneniveau, og flytte alle funktionerne i parsingsregler og logikken i at arbejde med protokoller ind i brugerrummet.
Kilde: opennet.ru