Nachfolgend и Ubuntu-Entwickler Wechseln Sie zum Standardpaketfilter .
Um die Abwärtskompatibilität aufrechtzuerhalten, wird die Verwendung des Pakets empfohlen , das Dienstprogrammen die gleiche Befehlszeilensyntax wie iptables bereitstellt, die resultierenden Regeln jedoch in nf_tables-Bytecode übersetzt. Die Änderung soll in der Herbstversion von Ubuntu 20.10 enthalten sein.
Dies ist der zweite Versuch, Ubuntu auf nftables zu migrieren. Der erste Versuch erfolgte letztes Jahr, wurde jedoch aufgrund von Inkompatibilität mit dem Toolkit abgelehnt . Jetzt schon in LXD native Unterstützung für nftables und es kann mit dem neuen Paketfilter-Backend arbeiten. Für Benutzer, die nicht über genügend Kompatibilitätsschicht verfügen, Möglichkeit, die klassischen Dienstprogramme iptables, ip6tables, arptables und ebtables mit dem alten Backend zu installieren.
Erinnern Sie sich daran in einem Paketfilter Paketfilterungsschnittstellen für IPv4, IPv6, ARP und Netzwerkbrücken wurden vereinheitlicht. Das nftables-Paket enthält Paketfilterkomponenten, die im Benutzerbereich ausgeführt werden, während die Arbeit auf Kernelebene vom Subsystem nf_tables bereitgestellt wird, das seit Version 3.13 Teil des Linux-Kernels ist. Die Kernel-Ebene stellt lediglich eine generische protokollunabhängige Schnittstelle bereit, die grundlegende Funktionen zum Extrahieren von Daten aus Paketen, zum Durchführen von Datenoperationen und zur Flusskontrolle bereitstellt.
Die Filterregeln selbst und protokollspezifische Handler werden in User-Space-Bytecode kompiliert. Anschließend wird dieser Bytecode über die Netlink-Schnittstelle in den Kernel geladen und im Kernel in einer speziellen virtuellen Maschine ausgeführt, die BPF (Berkeley Packet Filters) ähnelt. Dieser Ansatz ermöglicht es, die Größe des auf Kernelebene ausgeführten Filtercodes erheblich zu reduzieren und alle Funktionen der Parsing-Regeln und die Logik der Arbeit mit Protokollen in den Benutzerbereich zu verlagern.
Source: opennet.ru