Seguindo и Desenvolvedores de Ubuntu cambiar ao filtro de paquetes predeterminado .
Para manter a compatibilidade con versións anteriores, recoméndase utilizar o paquete , que proporciona utilidades coa mesma sintaxe de liña de comandos que iptables, pero traduce as regras resultantes a nf_tables bytecode. Está previsto que o cambio se inclúa na versión de outono de Ubuntu 20.10.
Este é o segundo intento de migrar Ubuntu a nftables. O primeiro intento realizouse o ano pasado, pero foi rexeitado por incompatibilidade co conxunto de ferramentas . Agora xa en LXD soporte nativo para nftables e pode funcionar co novo backend de filtrado de paquetes. Para os usuarios que non teñen suficiente capa de compatibilidade, capacidade de instalar utilidades clásicas iptables, ip6tables, arptables e ebtables co backend antigo.
Lembre que nun filtro de paquetes Unificáronse as interfaces de filtrado de paquetes para IPv4, IPv6, ARP e pontes de rede. O paquete nftables inclúe compoñentes de filtro de paquetes que se executan no espazo do usuario, mentres que o traballo a nivel do núcleo é proporcionado polo subsistema nf_tables, que forma parte do núcleo de Linux desde a versión 3.13. O nivel do núcleo ofrece só unha interface xenérica independente do protocolo que proporciona funcións básicas para extraer datos de paquetes, realizar operacións de datos e controlar o fluxo.
As propias regras de filtrado e os controladores específicos do protocolo compílanse nun bytecode de espazo de usuario, despois de que este bytecode cárgase no núcleo mediante a interface Netlink e execútase no núcleo nunha máquina virtual especial que se asemella a BPF (Berkeley Packet Filters). Este enfoque fai posible reducir significativamente o tamaño do código de filtrado que se executa a nivel do núcleo e mover todas as funcións das regras de análise e a lóxica de traballar con protocolos ao espazo do usuario.
Fonte: opennet.ru