Seguito da и Sviluppatori di Ubuntu passare al filtro dei pacchetti predefinito .
Per mantenere la compatibilità con le versioni precedenti, si consiglia di utilizzare il pacchetto , che fornisce utilità con la stessa sintassi della riga di comando di iptables, ma traduce le regole risultanti in bytecode nf_tables. Si prevede che la modifica sarà inclusa nella versione autunnale di Ubuntu 20.10.
Questo è il secondo tentativo di migrare Ubuntu su nftables. Il primo tentativo è stato fatto l'anno scorso, ma è stato rifiutato a causa dell'incompatibilità con il toolkit . Ora già in LXD supporto nativo per nftables e può funzionare con il nuovo backend di filtraggio dei pacchetti. Per gli utenti che non dispongono di un livello di compatibilità sufficiente, possibilità di installare le classiche utilità iptables, ip6tables, arptables ed ebtables con il vecchio backend.
Ricordatelo in un filtro di pacchetti Le interfacce di filtraggio dei pacchetti per IPv4, IPv6, ARP e bridge di rete sono state unificate. Il pacchetto nftables include componenti di filtro dei pacchetti eseguiti nello spazio utente, mentre il lavoro a livello di kernel è fornito dal sottosistema nf_tables, che fa parte del kernel Linux sin dalla versione 3.13. Il livello del kernel fornisce solo un'interfaccia generica indipendente dal protocollo che fornisce funzioni di base per estrarre dati dai pacchetti, eseguire operazioni sui dati e controllo del flusso.
Le stesse regole di filtraggio e i gestori specifici del protocollo vengono compilati in bytecode dello spazio utente, dopodiché questo bytecode viene caricato nel kernel utilizzando l'interfaccia Netlink ed eseguito nel kernel in una macchina virtuale speciale simile a BPF (Berkeley Packet Filters). Questo approccio consente di ridurre significativamente la dimensione del codice di filtraggio in esecuzione a livello di kernel e di spostare tutte le funzioni delle regole di analisi e la logica di lavorare con i protocolli nello spazio utente.
Fonte: opennet.ru