• IT-Karriere:
  • Services:

BPFilter: Linux-Kernel könnten moderne Firewall wieder verlieren

Der BPFilter ist keine zwei Jahre im Linux-Kernel, könnte aber bald schon wieder verschwinden. Die Technik wird schlicht nicht benutzt.

Artikel veröffentlicht am ,
Wie es mit dem BPFilter weitergeht, ist derzeit unklar.
Wie es mit dem BPFilter weitergeht, ist derzeit unklar. (Bild: Paul Korecky/Flickr.com/CC-BY-SA 2.0)

Dem BPFilter-Subsystem im Linux-Kernel steht eine ungewisse Zeit bevor, da die Kernel-Community derzeit diskutiert, die Technik entweder völlig oder zumindest vorerst wieder aus Linux zu entfernen. Das berichtet das Magazin LWN.net. Offenbar wird das Subsystem und damit im Zusammenhang stehende weitere Techniken von keinem anderen Bestandteil im Kernel verwendet. Ebenso scheint die Technik derzeit nicht so gepflegt zu werden, wie dies eigentlich für Kernel-Technik von der Community erwartet wird.

Stellenmarkt
  1. Deutscher Akademischer Austauschdienst e.V. (DAAD), Bonn
  2. Josef Heuel GmbH, Meinerzhagen

Erste Arbeiten an BPFilter wurden Anfang des Jahres 2018 vorgestellt. Dieses dient als Ersatz oder auch Alternative für die andere im Kernel bereits vorhandene Firewall-Technik Nftables und Iptables. Das etwas jüngere Nftables nutzt zur Umsetzung seiner Filterregeln eine virtuelle Maschine (VM), die direkt im Kernel implementiert ist. Der vergleichsweise neue BPFilter nutzt einen ähnlichen Ansatz und greift auf BPF zurück. Dabei handelt es sich um eine inzwischen sehr weit ausgereifte Technik, die unter anderem auch für einen Dtrace-Ersatz für Linux zum Einsatz kommt.

Der BPFilter erschien im Sommer 2018 schließlich mit Linux 4.18. Der wohl wichtigste Bestandteil der Technik ist dabei die Interaktion mit dem User-Space-Blobs oder auch -Helper. Auch diese Idee, also ein spezielles User-Space-Programm, das mit dem Kernel kommuniziert, ist im Grunde nichts Neues. Für BPFilter hatte die Linux-Community jedoch einen neuen Ansatz dafür gewählt. Der Kernel-Entwickler Greg Kroah-Hartman erhoffte sich damals davon, dass dieser so generisch ist, dass schnell auch andere Kernel-Subsysteme die Techniken verwenden könnten.

Dazu kam es in den vergangenen zwei Jahren aber nicht. Stattdessen wurde der Code der Technik kaum verändert oder weiterentwickelt, was nun die Diskussion um eine mögliche Entfernung aus dem Kernel ausgelöst hat. Der stark in die Arbeiten an BPF involvierte Entwickler Alexei Starovoitov widerspricht dem Plan jedoch und zählt auch einige Beispiele auf, in denen BPFilter bereits genutzt wird. Darüber hinaus bekräftigt Kroah-Hartman weiter seinen Plan, die Filter samt User-Mode-Blobs auch für weitere Komponenten im Kernel zu verwenden, unter anderem für den von ihm betreuten USB-Stack. Ob und wann es dazu kommt, ist derzeit jedoch nicht abzusehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. TT Isle of Man - Ride on the Edge 2 für 27,99€, Zombie Night Terror für 1,20€, Anno...
  2. (u. a. Band of Brothers - Box Set (Blu-ray) für 17,54€, The Big Bang Theory - Die komplette...
  3. 51,90€ (Bestpreis!)
  4. (u. a. Kingston Traveller USB-Stick 128GB für 9,99€, MS Office 365 Personal für 51,19€, MSI...

HeroFeat 16. Jun 2020 / Themenstart

Zum Beispiel Debian 10 verwendet intern nftables. Du kannst zwar weiterhin iptables...

abufrejoval 16. Jun 2020 / Themenstart

eBPF erlaubt deutlich mehr als einfache Filter: Pakete können vollständig umgeschrieben...

rubberduck09 16. Jun 2020 / Themenstart

2 Jahre sind nix und wer erwartet dass sich alle sofort mit Eifer auf neue Technologien...

Ofenrohr! 15. Jun 2020 / Themenstart

Man kann sich in der sources.lst auch auf einen Mirror mit statischer IP festlegen...

Kommentieren


Folgen Sie uns
       


DLR Istar vorgestellt - Bericht

Die Falcon 2000LX des DLR hat weltweit einzigartige Eigenschaft: sie kann so tun, als wäre sie ein anderes Flugzeug.

DLR Istar vorgestellt - Bericht Video aufrufen
    •  /