Mengikuti ΠΈ pemaju Ubuntu beralih kepada penapis paket lalai .
Untuk mengekalkan keserasian ke belakang, adalah dicadangkan untuk menggunakan pakej tersebut , yang menyediakan utiliti dengan sintaks baris arahan yang sama seperti iptables, tetapi menterjemahkan peraturan yang terhasil ke dalam nf_tables bytecode. Perubahan itu dirancang untuk dimasukkan dalam keluaran musim gugur Ubuntu 20.10.
Ini adalah percubaan kedua untuk memindahkan Ubuntu ke nftables. Percubaan pertama dibuat tahun lepas, tetapi ditolak kerana tidak serasi dengan toolkit . Kini dalam LXD sudah sokongan asli untuk nftables dan ia boleh berfungsi dengan bahagian belakang penapisan paket baharu. Bagi pengguna yang tidak mempunyai lapisan keserasian yang mencukupi, keupayaan untuk memasang utiliti klasik iptables, ip6tables, arptables dan ebtables dengan backend lama.
Ingat bahawa dalam penapis paket Antara muka penapisan paket untuk IPv4, IPv6, ARP dan jambatan rangkaian telah disatukan. Pakej nftables termasuk komponen penapis paket yang dijalankan dalam ruang pengguna, manakala kerja peringkat kernel disediakan oleh subsistem nf_tables, yang telah menjadi sebahagian daripada kernel Linux sejak keluaran 3.13. Tahap kernel hanya menyediakan antara muka bebas protokol generik yang menyediakan fungsi asas untuk mengekstrak data daripada paket, melaksanakan operasi data dan kawalan aliran.
Peraturan penapisan dan pengendali khusus protokol disusun menjadi kod bait dalam ruang pengguna, selepas itu kod bait ini dimuatkan ke dalam kernel menggunakan antara muka Netlink dan dilaksanakan dalam kernel dalam mesin maya khas yang mengingatkan BPF (Penapis Paket Berkeley). Pendekatan ini membolehkan anda mengurangkan dengan ketara saiz kod penapisan yang berjalan pada peringkat kernel dan memindahkan semua fungsi peraturan dan logik penghuraian untuk bekerja dengan protokol ke dalam ruang pengguna.
Sumber: opennet.ru