下列的 и Ubuntu 开发者 切换到默认数据包过滤器 .
为了保持向后兼容性,建议使用该包 ,它提供了与 iptables 相同的命令行语法的实用程序,但将结果规则转换为 nf_tables 字节码。 该更改计划包含在 Ubuntu 20.10 的秋季版本中。
这是将 Ubuntu 迁移到 nftables 的第二次尝试。 去年首次尝试,因与工具包不兼容而被拒绝 。 现在已经在 LXD 了 对 nftables 的本机支持,它可以与新的数据包过滤后端配合使用。 对于兼容性层不够的用户, 能够使用旧后端安装经典实用程序 iptables、ip6tables、arptables 和 ebtables。
回想一下,在数据包过滤器中 IPv4、IPv6、ARP 和网桥的数据包过滤接口已统一。 nftables 软件包包括用户空间数据包过滤器组件,而内核级工作由 nf_tables 子系统提供,该子系统自 3.13 版本以来一直是 Linux 内核的一部分。 内核层仅提供通用的与协议无关的接口,提供从数据包中提取数据、执行数据操作和流量控制的基本功能。
过滤规则和特定于协议的处理程序在用户空间中编译为字节码,然后使用 Netlink 接口将该字节码加载到内核中,并在内核中的特殊虚拟机(类似于 BPF(伯克利数据包过滤器))中执行。 这种方法允许您显着减少在内核级别运行的过滤代码的大小,并将用于处理协议的解析规则和逻辑的所有功能移至用户空间。
来源: opennet.ru