Seguindo и Desenvolvedores Ubuntu mudar para filtro de pacotes padrão .
Para manter a compatibilidade com versões anteriores, sugere-se usar o pacote , que fornece utilitários com a mesma sintaxe de linha de comando do iptables, mas traduz as regras resultantes em bytecode nf_tables. A mudança está planejada para ser incluída na versão de outono do Ubuntu 20.10.
Esta é a segunda tentativa de migrar o Ubuntu para nftables. A primeira tentativa foi feita no ano passado, mas foi rejeitada por incompatibilidade com o kit de ferramentas . Agora já no LXD suporte nativo para nftables e pode funcionar com o novo back-end de filtragem de pacotes. Para usuários que não possuem camada de compatibilidade suficiente, capacidade de instalar utilitários clássicos iptables, ip6tables, arptables e ebtables com o backend antigo.
Lembre-se disso em um filtro de pacotes As interfaces de filtragem de pacotes para IPv4, IPv6, ARP e pontes de rede foram unificadas. O pacote nftables inclui componentes de filtro de pacotes que são executados no espaço do usuário, enquanto o trabalho no nível do kernel é fornecido pelo subsistema nf_tables, que faz parte do kernel Linux desde a versão 3.13. O nível do kernel fornece apenas uma interface genérica independente de protocolo que fornece funções básicas para extrair dados de pacotes, realizar operações de dados e controlar o fluxo.
As regras de filtragem e manipuladores específicos do protocolo são compilados em bytecode no espaço do usuário, após o qual esse bytecode é carregado no kernel usando a interface Netlink e executado no kernel em uma máquina virtual especial que lembra BPF (Berkeley Packet Filters). Essa abordagem permite reduzir significativamente o tamanho do código de filtragem em execução no nível do kernel e mover todas as funções de análise de regras e lógica para trabalhar com protocolos para o espaço do usuário.
Fonte: opennet.ru