Następny и Programiści Ubuntu przełącz na domyślny filtr pakietów .
Aby zachować kompatybilność wsteczną, sugeruje się użycie pakietu , który zapewnia narzędziom tę samą składnię wiersza poleceń co iptables, ale tłumaczy wynikowe reguły na kod bajtowy nf_tables. Planuje się, że zmiana zostanie uwzględniona w jesiennym wydaniu Ubuntu 20.10.
To druga próba migracji Ubuntu do nftables. Pierwsza próba została podjęta w zeszłym roku, ale została odrzucona ze względu na niekompatybilność z zestawem narzędzi . Teraz już w LXD natywną obsługę nftables i może współpracować z nowym backendem filtrowania pakietów. Dla użytkowników, którzy nie mają wystarczającej warstwy kompatybilności, możliwość instalacji klasycznych narzędzi iptables, ip6tables, arptables i ebtables ze starym backendem.
Przypomnij sobie to w filtrze pakietów Ujednolicono interfejsy filtrowania pakietów dla IPv4, IPv6, ARP i mostów sieciowych. Pakiet nftables zawiera komponenty filtru pakietów w przestrzeni użytkownika, natomiast pracę na poziomie jądra zapewnia podsystem nf_tables, który jest częścią jądra Linuksa od wersji 3.13. Poziom jądra zapewnia jedynie ogólny, niezależny od protokołu interfejs, który zapewnia podstawowe funkcje wyodrębniania danych z pakietów, wykonywania operacji na danych i kontroli przepływu.
Same reguły filtrowania i procedury obsługi specyficzne dla protokołów są kompilowane w kod bajtowy przestrzeni użytkownika, po czym ten kod bajtowy jest ładowany do jądra za pomocą interfejsu Netlink i wykonywany w jądrze na specjalnej maszynie wirtualnej przypominającej BPF (Berkeley Packet Filters). Takie podejście umożliwia znaczne zmniejszenie rozmiaru kodu filtrującego działającego na poziomie jądra oraz przeniesienie wszystkich funkcji reguł parsowania i logiki pracy z protokołami do przestrzeni użytkownika.
Źródło: opennet.ru