Következő и Ubuntu fejlesztők váltson át az alapértelmezett csomagszűrőre .
A visszamenőleges kompatibilitás megőrzése érdekében a csomag használata javasolt , amely az iptables-éval azonos parancssori szintaxisú segédprogramokat biztosít, de az eredményül kapott szabályokat nf_tables bájtkódra fordítja. A változtatást a tervek szerint az Ubuntu 20.10 őszi kiadásában is beépítik.
Ez a második kísérlet az Ubuntu áttelepítésére nftables-re. Az első próbálkozásra tavaly került sor, de az eszköztárral való összeférhetetlenség miatt elutasították . Most már LXD-ben natív támogatása az nftables számára, és működhet az új csomagszűrő háttérrendszerrel. Azoknak a felhasználóknak, akiknek nincs elegendő kompatibilitási rétegük, az iptables, ip6tables, arptables és ebtables klasszikus segédprogramok telepítésének képessége a régi háttérrel.
Emlékezzünk rá egy csomagszűrőben Egységessé váltak az IPv4, IPv6, ARP és hálózati hidak csomagszűrő interfészei. Az nftables csomag felhasználói térben futó csomagszűrő komponenseket tartalmaz, míg a kernel szintű munkát az nf_tables alrendszer biztosítja, amely a 3.13-as kiadás óta a Linux kernel része. A kernelszint csak egy általános, protokoll-független interfészt biztosít, amely alapvető funkciókat biztosít az adatok csomagokból történő kinyeréséhez, adatműveletek végrehajtásához és az áramlásvezérléshez.
Magukat a szűrési szabályokat és a protokoll-specifikus kezelőket felhasználói térbeli bájtkódba fordítják, majd ezt a bájtkódot a Netlink interfész segítségével betöltik a kernelbe, és egy speciális, BPF-hez (Berkeley Packet Filters) hasonlító virtuális gépben hajtják végre a kernelben. Ez a megközelítés lehetővé teszi a kernel szinten futó szűrőkód méretének jelentős csökkentését, valamint az elemzési szabályok összes funkciójának és a protokollokkal való munka logikájának a felhasználói térbe való áthelyezését.
Forrás: opennet.ru