続く и Ubuntu開発者 デフォルトのパケットフィルタに切り替える .
下位互換性を維持するには、パッケージを使用することをお勧めします。 は、iptables と同じコマンドライン構文のユーティリティを提供しますが、結果のルールを nf_tables バイトコードに変換します。 この変更は、Ubuntu 20.10 の秋リリースに含まれる予定です。
これは、Ubuntu を nftables に移行する XNUMX 回目の試みです。 最初の試みは昨年行われましたが、ツールキットとの互換性がないため拒否されました。 。 現在はすでに LXD にあります nftables のネイティブ サポートと、新しいパケット フィルタリング バックエンドと連携できます。 十分な互換性レイヤーがないユーザーのために、 古いバックエンドを使用して古典的なユーティリティ iptables、ip6tables、arptables、ebtables をインストールする機能。
パケットフィルターでのことを思い出してください IPv4、IPv6、ARP、およびネットワーク ブリッジのパケット フィルタリング インターフェイスが統合されました。 nftables パッケージには、ユーザー空間で実行されるパケット フィルター コンポーネントが含まれていますが、カーネル レベルの作業は、リリース 3.13 以降 Linux カーネルの一部となっている nf_tables サブシステムによって提供されます。 カーネル レベルは、パケットからのデータの抽出、データ操作の実行、およびフロー制御の基本機能を提供する、プロトコルに依存しない汎用インターフェイスのみを提供します。
フィルタリング ルールとプロトコル固有のハンドラはユーザー空間でバイトコードにコンパイルされ、その後、このバイトコードは Netlink インターフェイスを使用してカーネルにロードされ、BPF (Berkeley Packet Filters) を思わせる特別な仮想マシンのカーネルで実行されます。 このアプローチにより、カーネル レベルで実行されるフィルタリング コードのサイズを大幅に削減し、プロトコルを操作するための解析ルールとロジックのすべての機能をユーザー空間に移動できます。
出所: オープンネット.ru