Järgnev и Ubuntu arendajad lülituda vaikepakettfiltrile .
Tagasiühilduvuse säilitamiseks on soovitatav kasutada paketti , mis pakub utiliite, millel on sama käsurea süntaks nagu iptables, kuid tõlgib saadud reeglid nf_tables baitkoodiks. Muudatus plaanitakse kaasata Ubuntu 20.10 sügisesesse väljalasesse.
See on teine katse viia Ubuntu üle nftablesile. Esimene katse tehti eelmisel aastal, kuid lükati tööriistakomplektiga kokkusobimatuse tõttu tagasi . Nüüd juba LXD-s nftablesi loomulik tugi ja see võib töötada koos uue pakettide filtreerimise taustaprogrammiga. Kasutajatele, kellel pole piisavalt ühilduvuskihti, võimalus installida klassikalisi utiliite iptables, ip6tables, arptables ja ebtables vana taustaprogrammiga.
Tuletage see meelde pakettfiltris IPv4, IPv6, ARP ja võrgusildade pakettide filtreerimise liidesed on ühtlustatud. Pakett nftables sisaldab kasutajaruumi pakettfiltri komponente, samas kui kerneli tasemel töö tagab alamsüsteem nf_tables, mis on Linuxi kerneli osa olnud alates väljalaskest 3.13. Kerneli tase pakub ainult üldist protokollist sõltumatut liidest, mis pakub põhifunktsioone pakettidest andmete eraldamiseks, andmetoimingute tegemiseks ja voo juhtimiseks.
Filtreerimisreeglid ja protokollispetsiifilised töötlejad kompileeritakse kasutajaruumis baitkoodiks, misjärel laaditakse see baitkood Netlink liidese abil kernelisse ja käivitatakse kernelis spetsiaalses BPF-i meenutavas virtuaalmasinas (Berkeley Packet Filters). Selline lähenemine võimaldab oluliselt vähendada kerneli tasemel töötava filtreerimiskoodi suurust ning teisaldada kõik sõelumisreeglite ja protokollidega töötamise loogika funktsioonid kasutajaruumi.
Allikas: opennet.ru