下列的 и Ubuntu 開發者 切換到預設資料包過濾器 .
為了保持向後相容性,建議使用該套件 ,它提供了與 iptables 相同的命令列語法的實用程序,但將結果規則轉換為 nf_tables 字節碼。 該更改計劃包含在 Ubuntu 20.10 的秋季版本中。
這是將 Ubuntu 遷移到 nftables 的第二次嘗試。 去年首次嘗試,因與工具包不相容而被拒絕 。 現在已經在 LXD 了 對 nftables 的本機支持,它可以與新的資料包過濾後端配合使用。 對於相容性層不夠的用戶, 能夠使用舊後端安裝經典實用程式 iptables、ip6tables、arptables 和 ebtables。
回想一下,在資料包過濾器中 IPv4、IPv6、ARP 和橋接器的封包過濾介面已統一。 nftables 軟體包包括在用戶空間中運行的資料包過濾器元件,而核心級工作由 nf_tables 子系統提供,該子系統自 3.13 版本以來一直是 Linux 核心的一部分。 核心層僅提供通用的與協定無關的接口,提供從資料包中提取資料、執行資料操作和流量控制的基本功能。
過濾規則本身和特定於協議的處理程序被編譯成用戶空間字節碼,之後使用 Netlink 接口將該字節碼加載到內核中,並在類似於 BPF(伯克利數據包過濾器)的特殊虛擬機中的內核中執行。 這種方法可以顯著減少在內核級別運行的過濾代碼的大小,並將所有解析規則的功能和處理協議的邏輯移至用戶空間。
來源: opennet.ru