• IT-Karriere:
  • Services:

BPFilter: Linux-Kernel könnten moderne Firewall wieder verlieren

Der BPFilter ist keine zwei Jahre im Linux-Kernel, könnte aber bald schon wieder verschwinden. Die Technik wird schlicht nicht benutzt.

Artikel veröffentlicht am ,
Wie es mit dem BPFilter weitergeht, ist derzeit unklar.
Wie es mit dem BPFilter weitergeht, ist derzeit unklar. (Bild: Paul Korecky/Flickr.com/CC-BY-SA 2.0)

Dem BPFilter-Subsystem im Linux-Kernel steht eine ungewisse Zeit bevor, da die Kernel-Community derzeit diskutiert, die Technik entweder völlig oder zumindest vorerst wieder aus Linux zu entfernen. Das berichtet das Magazin LWN.net. Offenbar wird das Subsystem und damit im Zusammenhang stehende weitere Techniken von keinem anderen Bestandteil im Kernel verwendet. Ebenso scheint die Technik derzeit nicht so gepflegt zu werden, wie dies eigentlich für Kernel-Technik von der Community erwartet wird.

Stellenmarkt
  1. Technische Hochschule Rosenheim, Rosenheim
  2. Hasso-Plattner-Institut für Digital Engineering gGmbH, Potsdam

Erste Arbeiten an BPFilter wurden Anfang des Jahres 2018 vorgestellt. Dieses dient als Ersatz oder auch Alternative für die andere im Kernel bereits vorhandene Firewall-Technik Nftables und Iptables. Das etwas jüngere Nftables nutzt zur Umsetzung seiner Filterregeln eine virtuelle Maschine (VM), die direkt im Kernel implementiert ist. Der vergleichsweise neue BPFilter nutzt einen ähnlichen Ansatz und greift auf BPF zurück. Dabei handelt es sich um eine inzwischen sehr weit ausgereifte Technik, die unter anderem auch für einen Dtrace-Ersatz für Linux zum Einsatz kommt.

Der BPFilter erschien im Sommer 2018 schließlich mit Linux 4.18. Der wohl wichtigste Bestandteil der Technik ist dabei die Interaktion mit dem User-Space-Blobs oder auch -Helper. Auch diese Idee, also ein spezielles User-Space-Programm, das mit dem Kernel kommuniziert, ist im Grunde nichts Neues. Für BPFilter hatte die Linux-Community jedoch einen neuen Ansatz dafür gewählt. Der Kernel-Entwickler Greg Kroah-Hartman erhoffte sich damals davon, dass dieser so generisch ist, dass schnell auch andere Kernel-Subsysteme die Techniken verwenden könnten.

Dazu kam es in den vergangenen zwei Jahren aber nicht. Stattdessen wurde der Code der Technik kaum verändert oder weiterentwickelt, was nun die Diskussion um eine mögliche Entfernung aus dem Kernel ausgelöst hat. Der stark in die Arbeiten an BPF involvierte Entwickler Alexei Starovoitov widerspricht dem Plan jedoch und zählt auch einige Beispiele auf, in denen BPFilter bereits genutzt wird. Darüber hinaus bekräftigt Kroah-Hartman weiter seinen Plan, die Filter samt User-Mode-Blobs auch für weitere Komponenten im Kernel zu verwenden, unter anderem für den von ihm betreuten USB-Stack. Ob und wann es dazu kommt, ist derzeit jedoch nicht abzusehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Linux: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Open-Source-Mediaplayer
    "Die Deutschen werden VLC wohl zerstören"
  2. 2. Generation MBUX
    Neue Mercedes C-Klasse mit aufgerüstetem Entertainmentsysten
  3. Next-Gen-Konsolen
    Das erste Quartal mit Playstation 5 und Xbox Series X/S
  4. Mac Mini und Macbook Air
    Nein, die SSDs von M1-Macs gehen nicht schneller kaputt
  5. Macbook Air und Co.
    Verlötete SSDs sind eine dumme Idee
Anzeige
Hardware-Angebote
  1. 499€
  3. (reduzierte Überstände, Restposten & Co.)
Kommentarübersicht
Re: Die Technik wird schlicht nicht benutzt
HeroFeat 16. Jun 2020

Zum Beispiel Debian 10 verwendet intern nftables. Du kannst zwar weiterhin iptables...

Re: Das wäre schade, aber es zeigt wie sich die...
abufrejoval 16. Jun 2020

eBPF erlaubt deutlich mehr als einfache Filter: Pakete können vollständig umgeschrieben...

Man sollte doch grad bei FOSS etwas mehr Zeit...
rubberduck09 16. Jun 2020

2 Jahre sind nix und wer erwartet dass sich alle sofort mit Eifer auf neue Technologien...

Re: OT: Regel an Prozessname knüpfen
Ofenrohr! 15. Jun 2020

Man kann sich in der sources.lst auch auf einen Mirror mit statischer IP festlegen...

Folgen Sie uns
       
Samsung Galaxy S21 und S21 Plus vorgestellt

Die beiden Grundmodelle von Samsungs Galaxy-S21-Serie kommen ohne abgerundete Displays und mit bekannten Kameras.

Samsung Galaxy S21 und S21 Plus vorgestellt Video aufrufen
BTW 2021
Bundestagswahl 2021: Die Rache der Uploadfilter
Bundestagswahl 2021
Die Rache der Uploadfilter

Die Bundestagswahl im September scheint immer noch weit weg zu sein. Doch gerade das Thema Corona könnte die Digitalisierung in den Mittelpunkt des Wahlkampfs rücken.
Eine Analyse von Friedhelm Greis

    Surface
    Surface Laptop Go im Test: Microsoft baut besten Laptop für unter 800 Euro
    Surface Laptop Go im Test
    Microsoft baut besten Laptop für unter 800 Euro

    Für den Preis hatten wir beim Surface Laptop Go nicht viel erwartet, wurden jedoch positiv überrascht. Vorsicht aber beim günstigsten Modell.
    Ein Test von Oliver Nickel

    1. Surface Pro X, Surface Book Microsoft Surface muss sich verändern
    2. Surface Microsoft setzt standardmäßig auf Hardware-Security
    3. Surface Pro 7+ Mehr Akku, LTE und 32 GByte RAM im Surface Pro
    Fritzbox
    AVM-Kabel-Spitzenboxen im Vergleich: Die Qual der Wahl am Kabel
    AVM-Kabel-Spitzenboxen im Vergleich
    Die Qual der Wahl am Kabel

    Sie sind wie zwei Geschwister, die unterschiedlicher nicht sein könnten. Wir haben uns die aktuellen Topmodelle der Kabel-Fritzboxen in der Praxis angesehen.
    Von Jan Rähm

    1. AVM Fritzbox 6850 5G kommt doch noch
    2. AVM Fritzbox 5530 Fiber Eine Fritzbox für Glasfaseranschlüsse und Wi-Fi 6
    3. Fritzbox 7530 AX AVMs erste DSL-Fritzbox mit Wi-Fi 6 kommt
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /