Abo
  • Services:

Bpfilter: Linux-Kernel könnte weitere Firewall-Technik bekommen

Zusätzlich zu Iptables und Nftables könnte der Linux-Kernel mit Bpfilter künftig einen weiteren Mechanismus für Firewalls und Paketfilter bekommen. Die neuen Technik basiert auf BPF, das von einem Paketfilter zu einer universellen VM im Kernel gewachsen ist.

Artikel veröffentlicht am ,
Der Linux-Kernel bekommt vielleicht eine neue Firewall-Technik.
Der Linux-Kernel bekommt vielleicht eine neue Firewall-Technik. (Bild: Marc Sauter/Golem.de)

Seit 2001 sind die Iptables die Standard-Firewall von Linux. Mit Nftables gibt es seit rund vier Jahren allerdings einen Paketfilter, der zwar als Nachfolger gilt, sich bisher industrieweit aber nicht durchgesetzt hat. Doch statt einer Ablösung von Iptables gibt es mit dem nun vorgestellten Bpfilter künftig vielleicht eine dritten Lösung für eine Linux-Kernel-Firewall.

Stellenmarkt
  1. Lachmann & Rink GmbH, Freudenberg und Dortmund
  2. Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) gGmbH, Köln

Wie das Online-Magazin LWN in seiner aktuellen Ausgabe schreibt, könnte Bpfilter langfristig möglicherweise sogar die beiden bisher bestehenden Lösungen ersetzen. Bis es dazu komme, müsse die Kernel-Community wohl aber noch einige offene Fragen rund um die Technik klären, heißt es bei LWN. Und bisher hat Bpfilter lediglich den Status einer Machbarkeitsstudie.

Nftables nutzt zur Umsetzung seiner Filterregeln eine virtuelle Maschine (VM) die direkt im Kernel implementiert ist. Das neue Bpfilter nutzt einen ähnlichen Ansatz um und greift auf BPF zurück. BPF stand ursprünglich für "Berkeley packet filter" und diente als Vereinfachung zum Schreiben von Paketfilterregeln. Das Projekt habe sich im Linux-Kernel aber zu einer universell einsetzbaren VM weiterentwickelt, wie LWN schon im Jahr 2014 bemerkte. Inzwischen dient BPF etwa zur Umsetzung weitgehender Analysewerkzeuge im Kernel, die etwa Oracles Dtrace Konkurrenz machen.

Schneller und kompatibel zu Iptables

Eben diese universelle VM soll nun auch für Bpfilter genutzt werden. Da BPF-Programme Just-in-Time kompiliert werden, sei der neue Filter besonders schnell, darüber hinaus könnten die neuen Regeln dank BPF an verschiedenen Punkten angewendet werden, die ein Paket im Kernel durchläuft. Ebenso sollen sich alte Iptables-Regeln auch auf Bpfilter überführen lassen können.

Die bisherige Diskussion zu dem neuen Filter fasst LWN wie üblich ebenfalls zusammen. Demnach habe das Projekt "in der nahen Zukunft" wohl keine Aussicht auf eine Aufnahme in den Hauptzweig des Linux-Kernel, sei aber wegen der daran beteiligten Entwickler als ernsthafte Initiative zu betrachten.



Anzeige
Top-Angebote
  1. 59€ (Vergleichspreis 70,98€)
  2. 49€ für Prime-Mitglieder (Vergleichspreis 64,98€)
  3. 59,99€ (Vergleichspreis ca. 90€)

Folgen Sie uns
       


Anthem - Fazit

Wir ziehen unser Fazit zu Anthem und erklären, was an Biowares Actionrollenspiel gelungen und weniger überzeugend ist.

Anthem - Fazit Video aufrufen
P30 Pro im Kameratest: Huawei baut die vielseitigste Smartphone-Kamera
P30 Pro im Kameratest
Huawei baut die vielseitigste Smartphone-Kamera

Huawei will mit dem P30 Pro seinen Vorsprung vor den Smartphone-Kameras der Konkurrenez ausbauen - und schafft es mit einigen grundlegenden Veränderungen.
Ein Test von Tobias Költzsch

  1. Huawei-Gründer "Warte auf Medikament von Google gegen Sterblichkeit"
  2. 5G-Ausbau Sicherheitskriterien führen nicht zu Ausschluss von Huawei
  3. Kritik an Eckpunkten Bitkom warnt vor deutschem Alleingang bei 5G-Sicherheit

Passwort-Richtlinien: Schlechte Passwörter vermeiden
Passwort-Richtlinien
Schlechte Passwörter vermeiden

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck

  1. Acutherm Mit Wärmebildkamera und Mikrofon das Passwort erraten
  2. Datenschutz Facebook speicherte Millionen Passwörter im Klartext
  3. Fido-Sticks im Test Endlich schlechte Passwörter

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

    •  /