NFtables könnte in naher Zukunft IPtables als Standardpaketfilter für Linux ablösen. Nun ist der zugehörige Code in Linus’ Hauptzweig gelandet.
Dank NFtables gehören protokollabhängige Filtermodule im Kernelspace der Vergangenheit an, das alles wird zukünftig im Userspace erledigt, schreibt David S. Miller, Netzwerk-Maintainer für den Kernel. IPtables verschwindet dadurch nicht von heute auf morgen, beide Paketfilter werden in einer Übergangsphase koexistieren. Mit Hilfe von Userspace-Tools lassen sich NFtables-Regeln auf Basis vorhandener Netfilter-Regeln aufstellen.
Der Vorteil von NFtables: Die Software läuft als virtuelle Maschine, die Bytecode ausführt und so die ein- und ausgehenden Pakete oder zugehörigen Metadaten inspiziert und einordnet. Der Bytecode-Interpreter unterstützt dabei Sets von IP-Adressen für Whitelists, kann Paketinhalte laden und vergleichen und Datenstrukturen durchforsten. Auch kleinteilige Updates des Regelwerks sind möglich. IPtables erfordert dafür hingegen das Aktualisieren des kompletten Regelwerks. Hauptentwickler von NFtables sind Patrick McHardy und Pablo Neira Ayuso.
