Abo
  • Services:

Bpfilter: Linux-Kernel könnte weitere Firewall-Technik bekommen

Zusätzlich zu Iptables und Nftables könnte der Linux-Kernel mit Bpfilter künftig einen weiteren Mechanismus für Firewalls und Paketfilter bekommen. Die neuen Technik basiert auf BPF, das von einem Paketfilter zu einer universellen VM im Kernel gewachsen ist.

Artikel veröffentlicht am ,
Der Linux-Kernel bekommt vielleicht eine neue Firewall-Technik.
Der Linux-Kernel bekommt vielleicht eine neue Firewall-Technik. (Bild: Marc Sauter/Golem.de)

Seit 2001 sind die Iptables die Standard-Firewall von Linux. Mit Nftables gibt es seit rund vier Jahren allerdings einen Paketfilter, der zwar als Nachfolger gilt, sich bisher industrieweit aber nicht durchgesetzt hat. Doch statt einer Ablösung von Iptables gibt es mit dem nun vorgestellten Bpfilter künftig vielleicht eine dritten Lösung für eine Linux-Kernel-Firewall.

Stellenmarkt
  1. PDV-Systeme GmbH, Dachau
  2. wfv Werkzeug-, Formen- und Vorrichtungsbau GmbH, Lampertheim

Wie das Online-Magazin LWN in seiner aktuellen Ausgabe schreibt, könnte Bpfilter langfristig möglicherweise sogar die beiden bisher bestehenden Lösungen ersetzen. Bis es dazu komme, müsse die Kernel-Community wohl aber noch einige offene Fragen rund um die Technik klären, heißt es bei LWN. Und bisher hat Bpfilter lediglich den Status einer Machbarkeitsstudie.

Nftables nutzt zur Umsetzung seiner Filterregeln eine virtuelle Maschine (VM) die direkt im Kernel implementiert ist. Das neue Bpfilter nutzt einen ähnlichen Ansatz um und greift auf BPF zurück. BPF stand ursprünglich für "Berkeley packet filter" und diente als Vereinfachung zum Schreiben von Paketfilterregeln. Das Projekt habe sich im Linux-Kernel aber zu einer universell einsetzbaren VM weiterentwickelt, wie LWN schon im Jahr 2014 bemerkte. Inzwischen dient BPF etwa zur Umsetzung weitgehender Analysewerkzeuge im Kernel, die etwa Oracles Dtrace Konkurrenz machen.

Schneller und kompatibel zu Iptables

Eben diese universelle VM soll nun auch für Bpfilter genutzt werden. Da BPF-Programme Just-in-Time kompiliert werden, sei der neue Filter besonders schnell, darüber hinaus könnten die neuen Regeln dank BPF an verschiedenen Punkten angewendet werden, die ein Paket im Kernel durchläuft. Ebenso sollen sich alte Iptables-Regeln auch auf Bpfilter überführen lassen können.

Die bisherige Diskussion zu dem neuen Filter fasst LWN wie üblich ebenfalls zusammen. Demnach habe das Projekt "in der nahen Zukunft" wohl keine Aussicht auf eine Aufnahme in den Hauptzweig des Linux-Kernel, sei aber wegen der daran beteiligten Entwickler als ernsthafte Initiative zu betrachten.



Anzeige
Top-Angebote
  1. (-61%) 23,50€
  2. (Anime-Blu-rays, Anime-Boxen, DVDs, Limited Edition)
  3. (u. a. WD My Book 3 TB 87,99€, WD My Book Duo 16 TB 424,99€, Sandisk 128 GB microSDXC-Karte 31...
  4. (u. a. Canon Pixma iP7250 42,99€)

Folgen Sie uns
       


LG V40 ThinQ - Test

Das V40 Thinq ist LGs jüngstes Top-Smartphone, das mit drei Kameras auf der Rückseite und zwei auf der Vorderseite in den Handel kommt.

LG V40 ThinQ - Test Video aufrufen
Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Karma-Spyware: Wie US-Auftragsspione beliebige iPhones hackten
    Karma-Spyware
    Wie US-Auftragsspione beliebige iPhones hackten

    Eine Spionageabteilung im Auftrag der Vereinigten Arabischen Emirate soll die iPhones von Aktivisten, Diplomaten und ausländischen Regierungschefs gehackt haben. Das Tool sei wie Weihnachten gewesen, sagte eine frühere NSA-Mitarbeiterin und Ex-Kollegin von Edward Snowden.
    Ein Bericht von Friedhelm Greis

    1. Update O2-Nutzer berichten über eSIM-Ausfälle beim iPhone
    2. Apple iPhone 11 soll Trio-Kamerasystem erhalten
    3. iPhone mit eSIM im Test Endlich Dual-SIM auf dem iPhone

    Begriffe, Architekturen, Produkte: Große Datenmengen in Echtzeit analysieren
    Begriffe, Architekturen, Produkte
    Große Datenmengen in Echtzeit analysieren

    Wer sich auch nur oberflächlich mit Big-Data und Echtzeit-Analyse beschäftigt, stößt schnell auf Begriffe und Lösungen, die sich nicht sofort erschließen. Warum brauche ich eine Nachrichten-Queue und was unterscheidet Apache Hadoop von Kafka? Welche Rolle spielt das in einer Kappa-Architektur?
    Von George Anadiotis


        •  /