Mengikuti ΠΈ Pengembang Ubuntu beralih ke filter paket default .
Untuk menjaga kompatibilitas ke belakang, disarankan untuk menggunakan paket ini , yang menyediakan utilitas dengan sintaks baris perintah yang sama seperti iptables, tetapi menerjemahkan aturan yang dihasilkan menjadi bytecode nf_tables. Perubahan tersebut rencananya akan disertakan dalam rilis musim gugur Ubuntu 20.10.
Ini adalah upaya kedua untuk memigrasikan Ubuntu ke nftables. Upaya pertama dilakukan tahun lalu, namun ditolak karena ketidaksesuaian dengan perangkat . Sekarang sudah ada di LXD dukungan asli untuk nftables dan dapat bekerja dengan backend pemfilteran paket baru. Bagi pengguna yang tidak memiliki lapisan kompatibilitas yang cukup, kemampuan untuk menginstal utilitas klasik iptables, ip6tables, arptables, dan ebtables dengan backend lama.
Ingat itu dalam filter paket Antarmuka pemfilteran paket untuk IPv4, IPv6, ARP, dan jembatan jaringan telah disatukan. Paket nftables mencakup komponen filter paket yang berjalan di ruang pengguna, sedangkan pekerjaan tingkat kernel disediakan oleh subsistem nf_tables, yang telah menjadi bagian dari kernel Linux sejak rilis 3.13. Tingkat kernel hanya menyediakan antarmuka protokol-independen generik yang menyediakan fungsi dasar untuk mengekstraksi data dari paket, melakukan operasi data, dan kontrol aliran.
Aturan pemfilteran itu sendiri dan penangan khusus protokol dikompilasi ke dalam bytecode ruang pengguna, setelah itu bytecode ini dimuat ke dalam kernel menggunakan antarmuka Netlink dan dieksekusi di kernel dalam mesin virtual khusus yang menyerupai BPF (Berkeley Packet Filters). Pendekatan ini memungkinkan untuk secara signifikan mengurangi ukuran kode pemfilteran yang berjalan pada level kernel dan memindahkan semua fungsi aturan penguraian dan logika bekerja dengan protokol ke ruang pengguna.
Sumber: opennet.ru