Ubuntu 20.10 გეგმავს iptable-დან nftable-ზე გადასვლას

მიჰყვება Fedora и Debian Ubuntu დეველოპერები განიხილავენ შესაძლებლობას ნაგულისხმევი პაკეტის ფილტრზე გადასვლა nftables.
ჩამორჩენილი თავსებადობის შესანარჩუნებლად, რეკომენდებულია პაკეტის გამოყენება iptables-nft, რომელიც უზრუნველყოფს კომუნალურ პროგრამებს იგივე ბრძანების ხაზის სინტაქსით, როგორც iptables, მაგრამ თარგმნის მიღებულ წესებს nf_tables ბაიტიკოდში. ცვლილება იგეგმება Ubuntu 20.10-ის შემოდგომის გამოშვებაში.

ეს არის Ubuntu-ს nftables-ზე მიგრაციის მეორე მცდელობა. პირველი მცდელობა გასულ წელს განხორციელდა, მაგრამ ინსტრუმენტთა ნაკრების შეუთავსებლობის გამო უარი მიიღო LXD. ახლა უკვე LXD-ში არსებობს მშობლიური მხარდაჭერა nftables-ისთვის და მას შეუძლია იმუშაოს ახალი პაკეტის ფილტრაციის ფონზე. მომხმარებლებისთვის, რომლებსაც არ აქვთ საკმარისი თავსებადობის ფენა, მიტოვებული კლასიკური კომუნალური პროგრამების iptables, ip6tables, arptables და ebtables-ის დაყენების შესაძლებლობა ძველი ბექენდით.

შეგახსენებთ, რომ პაკეტის ფილტრში nftables გაერთიანდა პაკეტების ფილტრაციის ინტერფეისები IPv4, IPv6, ARP და ქსელური ხიდებისთვის. nftables პაკეტი მოიცავს პაკეტის ფილტრის კომპონენტებს, რომლებიც მუშაობს მომხმარებლის სივრცეში, ხოლო ბირთვის დონის მუშაობას უზრუნველყოფს nf_tables ქვესისტემა, რომელიც Linux-ის ბირთვის ნაწილია 3.13 გამოშვების შემდეგ. ბირთვის დონე უზრუნველყოფს მხოლოდ ზოგად პროტოკოლისგან დამოუკიდებელ ინტერფეისს, რომელიც უზრუნველყოფს ძირითად ფუნქციებს პაკეტებიდან მონაცემების ამოსაღებად, მონაცემთა ოპერაციების შესასრულებლად და ნაკადის კონტროლისთვის.

ფილტრაციის წესები და პროტოკოლის სპეციფიკური დამმუშავებლები შედგენილია მომხმარებლის სივრცეში ბაიტეკოდში, რის შემდეგაც ეს ბაიტი იტვირთება ბირთვში Netlink ინტერფეისის გამოყენებით და შესრულებულია ბირთვში სპეციალურ ვირტუალურ მანქანაში, რომელიც მოგვაგონებს BPF-ს (Berkeley Packet Filters). ეს მიდგომა საშუალებას გაძლევთ მნიშვნელოვნად შეამციროთ ბირთვის დონეზე გაშვებული ფილტრაციის კოდის ზომა და გადაიტანოთ პროტოკოლებთან მუშაობის წესებისა და ლოგიკის ყველა ფუნქცია მომხმარებლის სივრცეში.

წყარო: opennet.ru