Weise Worte
Einige Admins wünschen sich eine Linux-Portierung der OpenBSD-Firewall »pf«, die mit einer leistungsfähigen Filtersprache aufwartet. Dazu wird es dem Vernehmen nach jedoch nicht kommen. - zu groß sind die architektonischen Unterschiede im Kern, lässt das Netfilter-Team wissen. Dennoch dürfen sich Admins auf ein neues User-Interface freuen: Anstelle des unhandlichen Tools »iptables« mit seinen vielen, teilweise voneinander abhängiger Kommandozeilenoptionen spendiert das Netfilter-Team nun eine eigene Beschreibungssprache. An den Details der Syntax feilen die Entwickler noch, haben sich dazu aber extra einige Sprachdesigner ins Boot geholt. Die Anweisungen
define local_ifs = { eth0, eth1 }
filter input meta iif $local_ifs daddr 10.0.0.0/8 counter accept
lassen Pakete für das Netz 10.0.0.0/8 passieren, wenn sie von den lokalen Interfaces aus kommen. NF-Tables loggt dies. Das deutet bereits an, dass es wohl möglich ist, Regelsätze von IP-Tables in solche für NF-Tables zu übersetzen, wenn sie überschaubar sind. Gleichwohl existiert so ein Werkzeug bislang nur in den Köpfen der Entwickler und Wünschen der Anwender.
In der Ruhe liegt die Kraft
Nach einigen Vorstellungsrunden im Kreise der Netfilter-Programmierer ging McHardy im März 2009 an die Öffentlichkeit und präsentierte die erste Version des Subsystems den Linux-Entwicklern. Der herunterladbare Code sei zwar prinzipiell funktionsfähig, aber noch weit von der Produktionsreife entfernt. Aktuell arbeitet das Team daran, gleich auch die Mechanismen des Traffic-Shaping mit dem Kommando »tc« in die Beschreibungssprache mit aufzunehmen.
Der Entwickler steckt den Migrationszeitraum, in dem Distributionen und Produktanbieter auf NF-Tables umsteigen, mit mindestens drei Jahren ab. Um das zu schaffen, sei noch intensives Testen nötig. Um dafür die Voraussetzungen zu schaffen, will McHardy seinen Code möglichst bald in die Breite tragen. Im Gespräch mit dem Linux-Magazin verriet er: "Ich hoffe, den Code bis Linux 2.6.33 im Kernel zu haben." Gelänge dies, dürfen Experimentierfreudige zum Ende des Jahres bereits einen reinkarnierten Hüter ihrer Systeme beschäftigen.
| Infos |
|---|
| [1] Patrick McHardy, "First release of nftables": [http://lwn.net/Articles/324251/] [2] NF-Hipac: [http://www.hipac.org] [3] Nils Magnus, "Firewall-Nachfolger Nftables stellt sich dem Kernel vor": [http://linux-magazin.de/NEWS/Firewall-Nachfolger-Nftables-stellt-sich-dem-Kernel-vor] |
Diesen Artikel als PDF kaufen
Express-Kauf als PDF
Umfang: 2 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Als digitales Abo
Weitere Produkte im Medialinx Shop »
Versandartikel
Onlineartikel
Alle Rezensionen aus dem Linux-Magazin
- Buecher/07 Bücher über 3-D-Programmierung sowie die Sprache Dart
- Buecher/06 Bücher über Map-Reduce und über die Sprache Erlang
- Buecher/05 Bücher über Scala und über Suchmaschinen-Optimierung
- Buecher/04 Bücher über Metasploit sowie über Erlang/OTP
- Buecher/03 Bücher über die LPI-Level-2-Zertifizierung
- Buecher/02 Bücher über Node.js und über nebenläufige Programmierung
- Buecher/01 Bücher über Linux-HA sowie über PHP-Webprogrammierung
- Buecher/12 Bücher über HTML-5-Apps sowie Computer Vision mit Python
- Buecher/11 Bücher über Statistik sowie über C++-Metaprogrammierung
- Buecher/10 Bücher zu PHP-Webbots sowie zur Emacs-Programmierung
Insecurity Bulletin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...