Netfilter: Iptables 1.8 bringt bessere Werkzeuge für Nftables-Backend

Die aktuelle Version 1.8 der Firewall-Userspace-Werkzeuge Iptables für Linux trennt stärker zwischen dem alten Backend und dem neuen Nftables-Backend. Für letzteres gibt es einige neue Werkzeuge, darunter auch Übersetzungsskripte für die alten Firewall-Regeln.

Artikel veröffentlicht am ,
Die Standardwerkzeuge für die Linux-Firewall trennen besser zwischen Alt und Neu.
Die Standardwerkzeuge für die Linux-Firewall trennen besser zwischen Alt und Neu. (Bild: Blickpixel, pixabay.com/CC0 1.0)

Das Netfilter-Team hat die Version 1.8 seiner Userspace-Werkzeug-Sammlung Iptables für die Linux-Firewall-Technik veröffentlicht. Neben einigen kleineren Verbesserungen ist die wohl wichtigste Neuerung die "markante Trennung" zwischen dem klassischen Iptables-Frontend, das die gleichnamige Kernel-Technik verwendet, und dem neuen Iptables-Frontend, das intern auf die neuere Kernel-Technik Nftables zugreift.

Stellenmarkt
  1. Software Tester (m/w/d) für Statistiksoftware
    INIT Group, Karlsruhe
  2. (Junior) IT-Projektleiter (m/w/d) Vertrieb
    Stadtwerke Duisburg AG, Duisburg
Detailsuche

Über die Kommandozeilenoption --version können Nutzer der aktuellen Version herausfinden, welche Kernel-Technik intern genutzt wird. Die üblichen Kommandozeilenaufrufe, etwas für save und restore, verwenden darüber hinaus nun die Anhängsel -legacy für die Iptables-Technik sowie -nft für Nftables. Zusätzlich dazu sind weitere Kommandos verfügbar, die das Nftables-Backend nutzen.

Dazu gehört xtables-monitor, mit dem Regeländerungen angezeigt werden können ebenso wie Paket-Traces, um die Regeln eventuell zu debuggen. Die neuen Werkzeuge ebtables für Ethernet-Bridging und arptables für ARP-Paketfilterregeln auf Basis von Nftables sollen einen Drop-in-Ersatz für die bisherigen Werkzeuge liefern. Hinzugekommen ist darüber hinaus eine kleine Werkzeugsammlung mit dem Namen translate. Dabei handelt es sich um Konvertierungsskripte, die die Iptables-Syntax so transferieren, dass diese von dem nativen Nftables-Werkzeug nft gelesen werden kann.

Neue Werkzeuge vorerst experimentell

Distributoren empfiehlt das Team, vorerst weiter die Legacy-Werkzeuge als stabile Veröffentlichungen an ihre Nutzer weiterzureichen. Experimentell sollten darüber hinaus die neuen Werkzeuge auf Basis der Nftables als Alternative für Nutzer bereitgestellt werden.

Golem Karrierewelt
  1. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    19./20.01.2023, Virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    07.-09.02.2023, Virtuell
Weitere IT-Trainings

Nftables ist seit mehr als vier Jahren Teil von Linux und soll langfristig Iptables ablösen. Mit Bpfilter arbeiten die Linux-Entwickler inzwischen an einer dritten Firewall-Technik, die ebenfalls als Ersatz für Iptables gedacht ist, sich allerdings noch in der Entwicklungsphase befindet. Erste Arbeiten zu Bpfilter finden sich in Linux 4.18, das zurzeit nur als Vorschauversion bereitsteht. Bpfilter soll unter anderem eine schnellere Filterung von Paketen ermöglichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Viertes Mobilfunknetz
1&1 lässt laut Bericht Verkauf des Unternehmens durchrechnen

Fast keine eigenen Antennenstandorte, schwaches Open RAN, steigende Zinsen und Energiekosten: Ralph Dommermuth soll den Ausstieg bei 1&1 prüfen lassen. Das Unternehmen dementiert dies klar.

Viertes Mobilfunknetz: 1&1 lässt laut Bericht Verkauf des Unternehmens durchrechnen
Artikel
  1. App-Store-Rauswurfdrohung: Musk attackiert Apple
    App-Store-Rauswurfdrohung
    Musk attackiert Apple

    Apple hat angeblich seine Werbeaktivitäten auf Twitter weitgehend eingestellt und mit einem App-Store-Rauswurf gedroht.

  2. Verkehrsunternehmen: 49-Euro-Ticket kommt wohl erst im Mai
    Verkehrsunternehmen
    49-Euro-Ticket kommt wohl erst im Mai

    Das 49-Euro-Ticket sollte Anfang 2023 erscheinen, doch Verkehrsunternehmen erwarten den Start erst im Mai 2023. Kommunen drohen gar mit Blockade.

  3. Prozessor-Bug: Wie Intel einen Bug im ersten x86-Prozessor fixte
    Prozessor-Bug
    Wie Intel einen Bug im ersten x86-Prozessor fixte

    Der Prozessor tut nicht ganz, was er soll? Heute löst das oft eine neue Firmware, vor 40 Jahren musste neues Silizium her.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ • Palit RTX 4080 1.499€ • Astro A50 Gaming-Headset PS4/PS5/PC günstiger • Gigabyte RX 6900 XT 799€ • Thrustmaster Flight Sticks günstiger [Werbung]
    •  /