Кийинки и разработчики Ubuntu перехода на использование по умолчанию пакетного фильтра .
Для сохранения обратной совместимости предлагается использовать пакет , предоставляющий утилиты с тем же синтаксисом командной строки, как и в iptables, но транслирующий полученные правила в байткод nf_tables. Изменение планируется включить в состав осеннего выпуска Ubuntu 20.10.
Это вторая попытка перехода Ubuntu на nftables. Первая попытка была предпринята в прошлом году, но была отклонена из-за несовместимости с инструментарием . Теперь в LXD уже встроенная поддержка nftables и он может работать с новым бэкендом для фильтрации пакетов. Для пользователей, которым недостаточно прослойки для обеспечения совместимости, возможность установки классических утилит iptables, ip6tables, arptables и ebtables со старым бэкендом.
Напомним, что в пакетном фильтре унифицированы интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.
Фильтрлөө эрежелеринин өзү жана протоколго тиешелүү иштеткичтер колдонуучу мейкиндигиндеги байткодго түзүлөт, андан кийин бул байт код Netlink интерфейсинин жардамы менен ядрого жүктөлөт жана ядродо BPF (Беркли пакеттик чыпкалары) окшош атайын виртуалдык машинада аткарылат. Бул ыкма ядро деңгээлинде иштеген чыпкалоочу коддун көлөмүн олуттуу түрдө кыскартууга жана талдоо эрежелеринин бардык функцияларын жана протоколдор менен иштөө логикасын колдонуучу мейкиндигине жылдырууга мүмкүндүк берет.
Source: opennet.ru