ProHoster > Blog > actualités internet > Ubuntu 20.10 prévoit de passer d'iptables à nftables

Ubuntu 20.10 prévoit de passer d'iptables à nftables

Suivant Fedora и Debian Développeurs Ubuntu envisagent la possibilité passer au filtre de paquets par défaut nftables.
Pour maintenir la compatibilité descendante, il est suggéré d'utiliser le package iptables-nft, qui fournit des utilitaires avec la même syntaxe de ligne de commande que iptables, mais traduit les règles résultantes en bytecode nf_tables. Le changement devrait être inclus dans la version d'automne d'Ubuntu 20.10.

Il s'agit de la deuxième tentative de migration d'Ubuntu vers nftables. La première tentative a été faite l'année dernière, mais a été rejetée en raison d'une incompatibilité avec la boîte à outils. LXD. Maintenant dans LXD déjà il y a prise en charge native de nftables et il peut fonctionner avec le nouveau backend de filtrage de paquets. Pour les utilisateurs qui ne disposent pas de suffisamment de couche de compatibilité, abandonné possibilité d'installer les utilitaires classiques iptables, ip6tables, arptables et ebtables avec l'ancien backend.

Rappelez-vous que dans un filtre de paquets nftables Les interfaces de filtrage de paquets pour IPv4, IPv6, ARP et les ponts réseau ont été unifiées. Le package nftables comprend des composants de filtre de paquets qui s'exécutent dans l'espace utilisateur, tandis que le travail au niveau du noyau est assuré par le sous-système nf_tables, qui fait partie du noyau Linux depuis la version 3.13. Le niveau noyau fournit uniquement une interface générique indépendante du protocole qui fournit des fonctions de base pour extraire les données des paquets, effectuer des opérations sur les données et contrôler le flux.

Les règles de filtrage elles-mêmes et les gestionnaires spécifiques au protocole sont compilés en bytecode de l'espace utilisateur, après quoi ce bytecode est chargé dans le noyau à l'aide de l'interface Netlink et exécuté dans le noyau dans une machine virtuelle spéciale ressemblant à BPF (Berkeley Packet Filters). Cette approche permet de réduire considérablement la taille du code de filtrage s'exécutant au niveau du noyau et de déplacer toutes les fonctions de règles d'analyse et la logique de travail avec les protocoles dans l'espace utilisateur.

Source: opennet.ru

Ajouter un commentaire