Följande и Ubuntu-utvecklare byta till standardpaketfilter .
För att upprätthålla bakåtkompatibilitet föreslås det att du använder paketet , som tillhandahåller verktyg med samma kommandoradssyntax som iptables, men översätter de resulterande reglerna till nf_tables bytecode. Förändringen är planerad att inkluderas i höstutgåvan av Ubuntu 20.10.
Detta är det andra försöket att migrera Ubuntu till nftables. Det första försöket gjordes förra året, men avvisades på grund av inkompatibilitet med verktygslådan . Nu i LXD redan inbyggt stöd för nftables och det kan fungera med den nya paketfiltreringsbackend. För användare som inte har tillräckligt med kompatibilitetslager, förmåga att installera klassiska verktyg iptables, ip6tables, arptables och ebtables med den gamla backend.
Kom ihåg det i ett paketfilter Paketfiltreringsgränssnitt för IPv4, IPv6, ARP och nätverksbryggor har förenats. Paketet nftables inkluderar paketfilterkomponenter som körs i användarutrymme, medan arbetet på kärnnivå tillhandahålls av nf_tables-undersystemet, som har varit en del av Linux-kärnan sedan release 3.13. Kärnnivån tillhandahåller endast ett generiskt protokolloberoende gränssnitt som tillhandahåller grundläggande funktioner för att extrahera data från paket, utföra dataoperationer och flödeskontroll.
Filtreringsreglerna och protokollspecifika hanterare kompileras till bytekod i användarutrymmet, varefter denna bytekod laddas in i kärnan med hjälp av Netlink-gränssnittet och exekveras i kärnan i en speciell virtuell maskin som påminner om BPF (Berkeley Packet Filters). Detta tillvägagångssätt tillåter dig att avsevärt minska storleken på filtreringskoden som körs på kärnnivå och flytta alla funktioner för att analysera regler och logik för att arbeta med protokoll till användarutrymmet.
Källa: opennet.ru