Open Source im professionellen Einsatz

NFtables landet in Linus' Kernel-Tree

14.11.2013

NFtables könnte in naher Zukunft IPtables als Standardpaketfilter für Linux ablösen. Nun ist der zugehörige Code in Linus' Hauptzweig gelandet.

132

Dank NFtables gehören protokollabhängige Filtermodule im Kernelspace der Vergangenheit an, das alles wird zukünftig im Userspace erledigt, schreibt David S. Miller, Netzwerk-Maintainer für den Kernel. IPtables verschwindet dadurch nicht von heute auf morgen, beide Paketfilter werden in einer Übergangsphase koexistieren. Mit Hilfe von Userspace-Tools lassen sich NFtables-Regeln auf Basis vorhandener Netfilter-Regeln aufstellen.

Der Vorteil von NFtables: Die Software läuft als virtuelle Maschine, die Bytecode ausführt und so die ein- und ausgehenden Pakete oder zugehörigen Metadaten inspiziert und einordnet. Der Bytecode-Interpreter unterstützt dabei Sets von IP-Adressen für Whitelists, kann Paketinhalte laden und vergleichen und Datenstrukturen durchforsten. Auch kleinteilige Updates des Regelwerks sind möglich. IPtables erfordert dafür hingegen das Aktualisieren des kompletten Regelwerks. Hauptentwickler von NFtables sind Patrick McHardy und Pablo Neira Ayuso.

Ähnliche Artikel

  • NFtables

    Seit knapp 13 Jahren macht IPtables den Türsteher für Linux und kontrolliert den Fluss der ein- und ausgehenden Netzwerkpakete mit Hilfe der Netfilter-Module. Mit dem anvisierten Einzug von NFtables in den Kernel bahnt sich jedoch eine Wachablösung an, die IPtables womöglich den Job kostet.

  • Debian Stretch ohne Secure Boot, mit NFtables

    Die Release von Debian 9 "Stretch" ist auf dem Weg. Secure Boot wird allerdings doch nicht in der neuen Version landen, dafür ist NFtables einsatzbereit.

  • Kernel 3.13: NFtables, schnellere SSD-IOPS und NFC mit "Secure Element"

    Nicht nur der IPtables-Nachfolger NFtables steckt im neuen Kernel 3.13. Dieser ermöglicht nun auch sichere Bezahlungen über NFC und ermöglicht deutlich mehr I/O-Operationen pro Sekunde für SSDs.

  • Wiedergeborener Wächter

    Auch für einen weisen Hüter der Netzwerkeingänge ist es irgendwann an der Zeit, den Stab weiterzugeben. Das Netfilter-Team bereitet gerade den Firewall-Umstieg von IP-Tables zu NF-Tables vor. Der Kernel profitiert von schlankeren Strukturen, Anwender dürfen sich auf eine echte Filtersprache freuen.

  • Firewall-Nachfolger Nftables stellt sich dem Kernel vor

    Schon seit längerem diskutiert das Netfilter-Team über eine weitere Renovierung des Firewall-Codes im Linux-Kernel. Jetzt hat der Teamleiter Patrick McHardy die Ergebnisse monatelanger Arbeit unter dem Namen Nftables vorgestellt.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.