ΕΠΟΜΕΝΟ и Προγραμματιστές Ubuntu μετάβαση στο προεπιλεγμένο φίλτρο πακέτων .
Για τη διατήρηση της συμβατότητας προς τα πίσω, προτείνεται η χρήση της συσκευασίας , το οποίο παρέχει βοηθητικά προγράμματα με την ίδια σύνταξη της γραμμής εντολών με τα iptables, αλλά μεταφράζει τους κανόνες που προκύπτουν σε bytecode nf_tables. Η αλλαγή σχεδιάζεται να συμπεριληφθεί στην φθινοπωρινή έκδοση του Ubuntu 20.10.
Αυτή είναι η δεύτερη προσπάθεια μετεγκατάστασης του Ubuntu σε nftables. Η πρώτη προσπάθεια έγινε πέρυσι, αλλά απορρίφθηκε λόγω ασυμβατότητας με την εργαλειοθήκη . Τώρα σε LXD ήδη εγγενής υποστήριξη για nftables και μπορεί να λειτουργήσει με το νέο backend φιλτραρίσματος πακέτων. Για χρήστες που δεν έχουν αρκετό επίπεδο συμβατότητας, δυνατότητα εγκατάστασης κλασικών βοηθητικών προγραμμάτων iptable, ip6tables, arptables και ebtables με το παλιό backend.
Θυμηθείτε ότι σε ένα φίλτρο πακέτων Οι διεπαφές φιλτραρίσματος πακέτων για IPv4, IPv6, ARP και γέφυρες δικτύου έχουν ενοποιηθεί. Το πακέτο nftables περιλαμβάνει στοιχεία φίλτρου πακέτων που εκτελούνται στο χώρο του χρήστη, ενώ η εργασία σε επίπεδο πυρήνα παρέχεται από το υποσύστημα nf_tables, το οποίο αποτελεί μέρος του πυρήνα του Linux από την έκδοση 3.13. Το επίπεδο πυρήνα παρέχει μόνο μια γενική διεπαφή ανεξάρτητη από πρωτόκολλο που παρέχει βασικές λειτουργίες για την εξαγωγή δεδομένων από πακέτα, την εκτέλεση λειτουργιών δεδομένων και τον έλεγχο ροής.
Οι ίδιοι οι κανόνες φιλτραρίσματος και οι ειδικοί χειριστές πρωτοκόλλου μεταγλωττίζονται σε bytecode χώρου χρήστη, μετά τον οποίο αυτός ο bytecode φορτώνεται στον πυρήνα χρησιμοποιώντας τη διεπαφή Netlink και εκτελείται στον πυρήνα σε μια ειδική εικονική μηχανή που μοιάζει με BPF (Berkeley Packet Filters). Αυτή η προσέγγιση καθιστά δυνατή τη σημαντική μείωση του μεγέθους του κώδικα φιλτραρίσματος που εκτελείται σε επίπεδο πυρήνα και τη μεταφορά όλων των λειτουργιών των κανόνων ανάλυσης και της λογικής της εργασίας με πρωτόκολλα στο χώρο του χρήστη.
Πηγή: opennet.ru