אובונטו 20.10 מתכננת לעבור מ-iptables ל-nftables

הבא פדורה и דביאן מפתחי אובונטו שוקלים עבור למסנן מנות ברירת מחדל nftables.
כדי לשמור על תאימות לאחור, מומלץ להשתמש בחבילה iptables-nft, המספק כלי עזר עם אותו תחביר שורת פקודה כמו iptables, אך מתרגם את הכללים המתקבלים ל-nf_tables bytecode. השינוי מתוכנן להיכלל במהדורת הסתיו של אובונטו 20.10.

זהו הניסיון השני להעביר את אובונטו ל-nftables. הניסיון הראשון נעשה בשנה שעברה, אך נדחה עקב אי התאמה עם ערכת הכלים Lxd. עכשיו ב-LXD כבר имеется תמיכה מקורית עבור nftables והיא יכולה לעבוד עם הקצה האחורי החדש של סינון מנות. למשתמשים שאין להם מספיק שכבת תאימות, נָטוּשׁ היכולת להתקין כלי עזר קלאסיים iptables, ip6tables, arptables ו-ebtables עם ה-backend הישן.

זכור זאת במסנן מנות nftables ממשקי סינון מנות עבור IPv4, IPv6, ARP וגשרי רשת אוחדו. חבילת nftables כוללת רכיבי מסנן מנות הפועלים בחלל המשתמש, בעוד שהעבודה ברמת הליבה מסופקת על ידי תת-המערכת nf_tables, שהייתה חלק מליבת לינוקס מאז גרסה 3.13. רמת הקרנל מספקת רק ממשק גנרי בלתי תלוי בפרוטוקול המספק פונקציות בסיסיות לחילוץ נתונים ממנות, ביצוע פעולות נתונים ובקרת זרימה.

כללי הסינון עצמם והמטפלים הספציפיים לפרוטוקול מורכבים לתוך bytecode של מרחב המשתמש, ולאחר מכן קוד בית זה נטען לתוך הליבה באמצעות ממשק Netlink ומבוצע בקרנל במכונה וירטואלית מיוחדת הדומה ל-BPF (Berkeley Packet Filters). גישה זו מאפשרת להקטין משמעותית את גודל קוד הסינון הפועל ברמת הקרנל ולהעביר את כל הפונקציות של חוקי הניתוח וההיגיון של עבודה עם פרוטוקולים למרחב המשתמש.

מקור: OpenNet.ru