• IT-Karriere:
  • Services:

Bpfilter: Linux-Kernel könnte weitere Firewall-Technik bekommen

Zusätzlich zu Iptables und Nftables könnte der Linux-Kernel mit Bpfilter künftig einen weiteren Mechanismus für Firewalls und Paketfilter bekommen. Die neuen Technik basiert auf BPF, das von einem Paketfilter zu einer universellen VM im Kernel gewachsen ist.

Artikel veröffentlicht am ,
Der Linux-Kernel bekommt vielleicht eine neue Firewall-Technik.
Der Linux-Kernel bekommt vielleicht eine neue Firewall-Technik. (Bild: Marc Sauter/Golem.de)

Seit 2001 sind die Iptables die Standard-Firewall von Linux. Mit Nftables gibt es seit rund vier Jahren allerdings einen Paketfilter, der zwar als Nachfolger gilt, sich bisher industrieweit aber nicht durchgesetzt hat. Doch statt einer Ablösung von Iptables gibt es mit dem nun vorgestellten Bpfilter künftig vielleicht eine dritten Lösung für eine Linux-Kernel-Firewall.

Stellenmarkt
  1. CONTURN Analytical Intelligence Group GmbH, Frankfurt am Main
  2. über duerenhoff GmbH, Raum Heilbronn

Wie das Online-Magazin LWN in seiner aktuellen Ausgabe schreibt, könnte Bpfilter langfristig möglicherweise sogar die beiden bisher bestehenden Lösungen ersetzen. Bis es dazu komme, müsse die Kernel-Community wohl aber noch einige offene Fragen rund um die Technik klären, heißt es bei LWN. Und bisher hat Bpfilter lediglich den Status einer Machbarkeitsstudie.

Nftables nutzt zur Umsetzung seiner Filterregeln eine virtuelle Maschine (VM) die direkt im Kernel implementiert ist. Das neue Bpfilter nutzt einen ähnlichen Ansatz um und greift auf BPF zurück. BPF stand ursprünglich für "Berkeley packet filter" und diente als Vereinfachung zum Schreiben von Paketfilterregeln. Das Projekt habe sich im Linux-Kernel aber zu einer universell einsetzbaren VM weiterentwickelt, wie LWN schon im Jahr 2014 bemerkte. Inzwischen dient BPF etwa zur Umsetzung weitgehender Analysewerkzeuge im Kernel, die etwa Oracles Dtrace Konkurrenz machen.

Schneller und kompatibel zu Iptables

Eben diese universelle VM soll nun auch für Bpfilter genutzt werden. Da BPF-Programme Just-in-Time kompiliert werden, sei der neue Filter besonders schnell, darüber hinaus könnten die neuen Regeln dank BPF an verschiedenen Punkten angewendet werden, die ein Paket im Kernel durchläuft. Ebenso sollen sich alte Iptables-Regeln auch auf Bpfilter überführen lassen können.

Die bisherige Diskussion zu dem neuen Filter fasst LWN wie üblich ebenfalls zusammen. Demnach habe das Projekt "in der nahen Zukunft" wohl keine Aussicht auf eine Aufnahme in den Hauptzweig des Linux-Kernel, sei aber wegen der daran beteiligten Entwickler als ernsthafte Initiative zu betrachten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-44%) 27,99€
  2. 7,99€

Folgen Sie uns
       


Macbook Air (2020) - Test

Endlich streicht Apple die fehlerhafte Butterfly auch beim Macbook Air. Im Test sind allerdings einige andere Mängel noch vorhanden.

Macbook Air (2020) - Test Video aufrufen
    •  /