• IT-Karriere:
  • Services:

Bpfilter: Linux-Kernel könnte weitere Firewall-Technik bekommen

Zusätzlich zu Iptables und Nftables könnte der Linux-Kernel mit Bpfilter künftig einen weiteren Mechanismus für Firewalls und Paketfilter bekommen. Die neuen Technik basiert auf BPF, das von einem Paketfilter zu einer universellen VM im Kernel gewachsen ist.

Artikel veröffentlicht am ,
Der Linux-Kernel bekommt vielleicht eine neue Firewall-Technik.
Der Linux-Kernel bekommt vielleicht eine neue Firewall-Technik. (Bild: Marc Sauter/Golem.de)

Seit 2001 sind die Iptables die Standard-Firewall von Linux. Mit Nftables gibt es seit rund vier Jahren allerdings einen Paketfilter, der zwar als Nachfolger gilt, sich bisher industrieweit aber nicht durchgesetzt hat. Doch statt einer Ablösung von Iptables gibt es mit dem nun vorgestellten Bpfilter künftig vielleicht eine dritten Lösung für eine Linux-Kernel-Firewall.

Stellenmarkt
  1. Deloitte, verschiedene Einsatzorte
  2. SySS GmbH, Tübingen, Frankfurt am Main, München, Wien (Österreich)

Wie das Online-Magazin LWN in seiner aktuellen Ausgabe schreibt, könnte Bpfilter langfristig möglicherweise sogar die beiden bisher bestehenden Lösungen ersetzen. Bis es dazu komme, müsse die Kernel-Community wohl aber noch einige offene Fragen rund um die Technik klären, heißt es bei LWN. Und bisher hat Bpfilter lediglich den Status einer Machbarkeitsstudie.

Nftables nutzt zur Umsetzung seiner Filterregeln eine virtuelle Maschine (VM) die direkt im Kernel implementiert ist. Das neue Bpfilter nutzt einen ähnlichen Ansatz um und greift auf BPF zurück. BPF stand ursprünglich für "Berkeley packet filter" und diente als Vereinfachung zum Schreiben von Paketfilterregeln. Das Projekt habe sich im Linux-Kernel aber zu einer universell einsetzbaren VM weiterentwickelt, wie LWN schon im Jahr 2014 bemerkte. Inzwischen dient BPF etwa zur Umsetzung weitgehender Analysewerkzeuge im Kernel, die etwa Oracles Dtrace Konkurrenz machen.

Schneller und kompatibel zu Iptables

Eben diese universelle VM soll nun auch für Bpfilter genutzt werden. Da BPF-Programme Just-in-Time kompiliert werden, sei der neue Filter besonders schnell, darüber hinaus könnten die neuen Regeln dank BPF an verschiedenen Punkten angewendet werden, die ein Paket im Kernel durchläuft. Ebenso sollen sich alte Iptables-Regeln auch auf Bpfilter überführen lassen können.

Die bisherige Diskussion zu dem neuen Filter fasst LWN wie üblich ebenfalls zusammen. Demnach habe das Projekt "in der nahen Zukunft" wohl keine Aussicht auf eine Aufnahme in den Hauptzweig des Linux-Kernel, sei aber wegen der daran beteiligten Entwickler als ernsthafte Initiative zu betrachten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 129,99€ (mit Vorbesteller-Preisgarantie)
  2. 129,99€ (mit Vorbesteller-Preisgarantie)

Folgen Sie uns
       


Razer Blade Stealth 13 - Test

Dass ein Gaming-Notebook kompakt sein kann und auch als Arbeitsnotebook fürs Schreiben taugt, haben wir eher weniger erwartet. Das Razer Blade Stealth 13 zeigt, dass dies trotzdem möglich ist.

Razer Blade Stealth 13 - Test Video aufrufen
Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

Film: Wie sich Science-Fiction-Autoren das Jahr 2020 vorstellten
Film
Wie sich Science-Fiction-Autoren das Jahr 2020 vorstellten

Drachen löschen die Menschheit fast aus, Aliens löschen die Menschheit fast aus, Monster löschen die Menschheit fast aus: Das Jahr 2020 ist in Spielfilmen nicht gerade heiter.
Von Peter Osteried

  1. Alien Im Weltall hört dich keiner schreien
  2. Terminator: Dark Fate Die einzig wahre Fortsetzung eines Klassikers?
  3. Gemini Man Überflüssiges Klonexperiment

    •  /