اوبونتو 20.10 قصد دارد از iptables به nftables حرکت کند

ذیل کلاه نمدی مردانه и دبیان توسعه دهندگان اوبونتو در نظر دارند تغییر به فیلتر بسته پیش فرض nftables.
برای حفظ سازگاری به عقب، استفاده از بسته پیشنهاد می شود iptables-nft، که ابزارهایی را با دستور خط فرمان مشابه iptables ارائه می دهد، اما قوانین حاصل را به بایت کد nf_tables ترجمه می کند. این تغییر قرار است در نسخه پاییز اوبونتو 20.10 گنجانده شود.

این دومین تلاش برای انتقال اوبونتو به nftables است. اولین تلاش سال گذشته انجام شد، اما به دلیل ناسازگاری با جعبه ابزار رد شد LXD. در حال حاضر در LXD در حال حاضر در دسترس است پشتیبانی بومی برای nftables و می‌تواند با باطن فیلترینگ بسته جدید کار کند. برای کاربرانی که لایه سازگاری کافی ندارند، رها شده است قابلیت نصب ابزارهای کلاسیک iptables، ip6tables، arptables و ebtables با باطن قدیمی.

به یاد بیاورید که در یک فیلتر بسته nftables رابط های فیلتر بسته برای IPv4، IPv6، ARP و پل های شبکه یکپارچه شده اند. بسته nftables شامل اجزای فیلتر بسته است که در فضای کاربر اجرا می شود، در حالی که کار در سطح هسته توسط زیرسیستم nf_tables ارائه می شود که از زمان انتشار 3.13 بخشی از هسته لینوکس بوده است. سطح هسته تنها یک رابط عمومی مستقل از پروتکل را فراهم می کند که عملکردهای اساسی را برای استخراج داده ها از بسته ها، انجام عملیات داده و کنترل جریان ارائه می دهد.

قوانین فیلتر و کنترل کننده های خاص پروتکل در بایت کد در فضای کاربر کامپایل می شوند، پس از آن این بایت کد با استفاده از رابط Netlink در هسته بارگذاری می شود و در هسته در یک ماشین مجازی ویژه که یادآور BPF (فیلترهای بسته برکلی) است، اجرا می شود. این رویکرد به شما این امکان را می دهد که اندازه کدهای فیلترینگ در حال اجرا در سطح هسته را به میزان قابل توجهی کاهش دهید و تمام عملکردهای تجزیه قوانین و منطق کار با پروتکل ها را به فضای کاربر منتقل کنید.

منبع: opennet.ru