Bpfilter: Linux-Kernel könnte weitere Firewall-Technik bekommen

Zusätzlich zu Iptables und Nftables könnte der Linux-Kernel mit Bpfilter künftig einen weiteren Mechanismus für Firewalls und Paketfilter bekommen. Die neuen Technik basiert auf BPF, das von einem Paketfilter zu einer universellen VM im Kernel gewachsen ist.

Artikel veröffentlicht am ,
Der Linux-Kernel bekommt vielleicht eine neue Firewall-Technik.
Der Linux-Kernel bekommt vielleicht eine neue Firewall-Technik. (Bild: Marc Sauter/Golem.de)

Seit 2001 sind die Iptables die Standard-Firewall von Linux. Mit Nftables gibt es seit rund vier Jahren allerdings einen Paketfilter, der zwar als Nachfolger gilt, sich bisher industrieweit aber nicht durchgesetzt hat. Doch statt einer Ablösung von Iptables gibt es mit dem nun vorgestellten Bpfilter künftig vielleicht eine dritten Lösung für eine Linux-Kernel-Firewall.

Stellenmarkt
  1. IT-Architektin (m/w/d)
    Techniker Krankenkasse, Hamburg
  2. Senior IT Systems Engineer Backup (w/m/d)
    noris network AG, Nürnberg, München, Aschheim, Berlin (Home-Office)
Detailsuche

Wie das Online-Magazin LWN in seiner aktuellen Ausgabe schreibt, könnte Bpfilter langfristig möglicherweise sogar die beiden bisher bestehenden Lösungen ersetzen. Bis es dazu komme, müsse die Kernel-Community wohl aber noch einige offene Fragen rund um die Technik klären, heißt es bei LWN. Und bisher hat Bpfilter lediglich den Status einer Machbarkeitsstudie.

Nftables nutzt zur Umsetzung seiner Filterregeln eine virtuelle Maschine (VM) die direkt im Kernel implementiert ist. Das neue Bpfilter nutzt einen ähnlichen Ansatz um und greift auf BPF zurück. BPF stand ursprünglich für "Berkeley packet filter" und diente als Vereinfachung zum Schreiben von Paketfilterregeln. Das Projekt habe sich im Linux-Kernel aber zu einer universell einsetzbaren VM weiterentwickelt, wie LWN schon im Jahr 2014 bemerkte. Inzwischen dient BPF etwa zur Umsetzung weitgehender Analysewerkzeuge im Kernel, die etwa Oracles Dtrace Konkurrenz machen.

Schneller und kompatibel zu Iptables

Eben diese universelle VM soll nun auch für Bpfilter genutzt werden. Da BPF-Programme Just-in-Time kompiliert werden, sei der neue Filter besonders schnell, darüber hinaus könnten die neuen Regeln dank BPF an verschiedenen Punkten angewendet werden, die ein Paket im Kernel durchläuft. Ebenso sollen sich alte Iptables-Regeln auch auf Bpfilter überführen lassen können.

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Die bisherige Diskussion zu dem neuen Filter fasst LWN wie üblich ebenfalls zusammen. Demnach habe das Projekt "in der nahen Zukunft" wohl keine Aussicht auf eine Aufnahme in den Hauptzweig des Linux-Kernel, sei aber wegen der daran beteiligten Entwickler als ernsthafte Initiative zu betrachten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ubisoft
Avatar statt Assassin's Creed

E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

Ubisoft: Avatar statt Assassin's Creed
Artikel
  1. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  2. Extraction: Rainbow Six und der Kampf gegen Außerirdische
    Extraction
    Rainbow Six und der Kampf gegen Außerirdische

    E3 2021 Es ist ein ungewöhnlicher Ableger für Siege: Ubisoft hat Rainbow Six Extraction vorgestellt, das auf den Kampf gegen KI-Aliens setzt.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ • Amazon: PC-Spiele reduziert (u. a. C&C: Remastered Collection 9,99€) [Werbung]
    •  /