Tiếp theo и разработчики Ubuntu перехода на использование по умолчанию пакетного фильтра .
Для сохранения обратной совместимости предлагается использовать пакет , предоставляющий утилиты с тем же синтаксисом командной строки, как и в iptables, но транслирующий полученные правила в байткод nf_tables. Изменение планируется включить в состав осеннего выпуска Ubuntu 20.10.
Это вторая попытка перехода Ubuntu на nftables. Первая попытка была предпринята в прошлом году, но была отклонена из-за несовместимости с инструментарием . Теперь в LXD уже встроенная поддержка nftables и он может работать с новым бэкендом для фильтрации пакетов. Для пользователей, которым недостаточно прослойки для обеспечения совместимости, возможность установки классических утилит iptables, ip6tables, arptables и ebtables со старым бэкендом.
Напомним, что в пакетном фильтре унифицированы интерфейсы фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. В пакет nftables входят компоненты пакетного фильтра, работающие в пространстве пользователя, в то время как на уровне ядра работу обеспечивает подсистема nf_tables, входящая в состав ядра Linux начиная с выпуска 3.13. На уровне ядра предоставляется лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком.
Bản thân các quy tắc lọc và trình xử lý dành riêng cho giao thức được biên dịch thành mã byte không gian người dùng, sau đó mã byte này được tải vào nhân bằng giao diện Netlink và được thực thi trong nhân trong một máy ảo đặc biệt giống như BPF (Bộ lọc gói Berkeley). Cách tiếp cận này giúp giảm đáng kể kích thước của mã lọc chạy ở cấp hạt nhân và di chuyển tất cả các chức năng của quy tắc phân tích cú pháp và logic làm việc với các giao thức vào không gian người dùng.
Nguồn: opennet.ru