Siguiente и Desarrolladores de Ubuntu cambiar al filtro de paquetes predeterminado .
Para mantener la compatibilidad con versiones anteriores, se sugiere utilizar el paquete , que proporciona utilidades con la misma sintaxis de línea de comando que iptables, pero traduce las reglas resultantes al código de bytes nf_tables. Está previsto que el cambio se incluya en la versión de otoño de Ubuntu 20.10.
Este es el segundo intento de migrar Ubuntu a nftables. El primer intento se realizó el año pasado, pero fue rechazado por incompatibilidad con el conjunto de herramientas. . Ahora ya en LXD soporte nativo para nftables y puede funcionar con el nuevo backend de filtrado de paquetes. Para usuarios que no tienen suficiente capa de compatibilidad, Posibilidad de instalar las utilidades clásicas iptables, ip6tables, arptables y ebtables con el antiguo backend.
Recuerde que en un filtro de paquetes Se han unificado las interfaces de filtrado de paquetes para IPv4, IPv6, ARP y puentes de red. El paquete nftables incluye componentes de filtrado de paquetes que se ejecutan en el espacio del usuario, mientras que el trabajo a nivel del kernel lo proporciona el subsistema nf_tables, que ha sido parte del kernel de Linux desde la versión 3.13. El nivel del kernel proporciona solo una interfaz genérica independiente del protocolo que proporciona funciones básicas para extraer datos de paquetes, realizar operaciones de datos y control de flujo.
Las reglas de filtrado y los controladores específicos del protocolo se compilan en un código de bytes en el espacio del usuario, después de lo cual este código de bytes se carga en el kernel usando la interfaz Netlink y se ejecuta en el kernel en una máquina virtual especial que recuerda a BPF (Berkeley Packet Filters). Este enfoque le permite reducir significativamente el tamaño del código de filtrado que se ejecuta a nivel del kernel y mover todas las funciones de reglas de análisis y lógica para trabajar con protocolos al espacio del usuario.
Fuente: opennet.ru