Հետևելով и Ubuntu մշակողները անցնել լռելյայն փաթեթային ֆիլտրին .
Հետևյալ համատեղելիությունը պահպանելու համար առաջարկվում է օգտագործել փաթեթը , որը կոմունալ ծառայություններին տրամադրում է նույն հրամանի տողի շարահյուսությունը, ինչ iptables-ը, բայց ստացված կանոնները թարգմանում է nf_tables բայթկոդի։ Փոփոխությունը նախատեսվում է ներառել Ubuntu 20.10-ի աշնանային թողարկման մեջ։
Սա Ubuntu-ն nftables տեղափոխելու երկրորդ փորձն է: Առաջին փորձն արվել է անցյալ տարի, սակայն մերժվել է գործիքակազմի հետ անհամատեղելիության պատճառով . Այժմ արդեն LXD-ում բնիկ աջակցություն nftables-ի համար և այն կարող է աշխատել նոր փաթեթների զտման հետին պլանի հետ: Օգտատերերի համար, ովքեր չունեն բավարար համատեղելիության շերտ, դասական կոմունալ ծառայություններ iptables, ip6tables, arptables և ebtables հին հետին պլանով տեղադրելու ունակություն:
Հիշեցնենք, որ փաթեթային ֆիլտրում IPv4, IPv6, ARP և ցանցային կամուրջների փաթեթների զտման միջերեսները միավորվել են: Nftables փաթեթը ներառում է փաթեթների զտիչ բաղադրիչներ, որոնք աշխատում են օգտագործողի տարածքում, մինչդեռ միջուկի մակարդակի աշխատանքը տրամադրվում է nf_tables ենթահամակարգի կողմից, որը Linux միջուկի մաս է կազմում 3.13 թողարկման պահից: Միջուկի մակարդակը ապահովում է միայն ընդհանուր պրոտոկոլից անկախ ինտերֆեյս, որն ապահովում է հիմնական գործառույթներ՝ փաթեթներից տվյալներ հանելու, տվյալների գործողություններ կատարելու և հոսքի վերահսկման համար:
Ինքնին զտման կանոնները և պրոտոկոլի հատուկ մշակիչները կազմվում են օգտագործողի տարածության բայթկոդի մեջ, որից հետո այս բայթկոդը բեռնվում է միջուկում՝ օգտագործելով Netlink ինտերֆեյսը և գործարկվում միջուկում հատուկ վիրտուալ մեքենայի մեջ, որը նման է BPF-ին (Berkeley Packet Filters): Այս մոտեցումը հնարավորություն է տալիս զգալիորեն նվազեցնել միջուկի մակարդակով աշխատող զտիչ կոդի չափը և վերլուծության կանոնների բոլոր գործառույթները և արձանագրությունների հետ աշխատելու տրամաբանությունը տեղափոխել օգտվողի տարածք:
Source: opennet.ru