Abo
  • Services:

Netfilter: Iptables 1.8 bringt bessere Werkzeuge für Nftables-Backend

Die aktuelle Version 1.8 der Firewall-Userspace-Werkzeuge Iptables für Linux trennt stärker zwischen dem alten Backend und dem neuen Nftables-Backend. Für letzteres gibt es einige neue Werkzeuge, darunter auch Übersetzungsskripte für die alten Firewall-Regeln.

Artikel veröffentlicht am ,
Die Standardwerkzeuge für die Linux-Firewall trennen besser zwischen Alt und Neu.
Die Standardwerkzeuge für die Linux-Firewall trennen besser zwischen Alt und Neu. (Bild: Blickpixel, pixabay.com/CC0 1.0)

Das Netfilter-Team hat die Version 1.8 seiner Userspace-Werkzeug-Sammlung Iptables für die Linux-Firewall-Technik veröffentlicht. Neben einigen kleineren Verbesserungen ist die wohl wichtigste Neuerung die "markante Trennung" zwischen dem klassischen Iptables-Frontend, das die gleichnamige Kernel-Technik verwendet, und dem neuen Iptables-Frontend, das intern auf die neuere Kernel-Technik Nftables zugreift.

Stellenmarkt
  1. amedes Medizinische Dienstleistungen GmbH, Hamburg
  2. Robert Bosch GmbH, Abstatt

Über die Kommandozeilenoption --version können Nutzer der aktuellen Version herausfinden, welche Kernel-Technik intern genutzt wird. Die üblichen Kommandozeilenaufrufe, etwas für save und restore, verwenden darüber hinaus nun die Anhängsel -legacy für die Iptables-Technik sowie -nft für Nftables. Zusätzlich dazu sind weitere Kommandos verfügbar, die das Nftables-Backend nutzen.

Dazu gehört xtables-monitor, mit dem Regeländerungen angezeigt werden können ebenso wie Paket-Traces, um die Regeln eventuell zu debuggen. Die neuen Werkzeuge ebtables für Ethernet-Bridging und arptables für ARP-Paketfilterregeln auf Basis von Nftables sollen einen Drop-in-Ersatz für die bisherigen Werkzeuge liefern. Hinzugekommen ist darüber hinaus eine kleine Werkzeugsammlung mit dem Namen translate. Dabei handelt es sich um Konvertierungsskripte, die die Iptables-Syntax so transferieren, dass diese von dem nativen Nftables-Werkzeug nft gelesen werden kann.

Neue Werkzeuge vorerst experimentell

Distributoren empfiehlt das Team, vorerst weiter die Legacy-Werkzeuge als stabile Veröffentlichungen an ihre Nutzer weiterzureichen. Experimentell sollten darüber hinaus die neuen Werkzeuge auf Basis der Nftables als Alternative für Nutzer bereitgestellt werden.

Nftables ist seit mehr als vier Jahren Teil von Linux und soll langfristig Iptables ablösen. Mit Bpfilter arbeiten die Linux-Entwickler inzwischen an einer dritten Firewall-Technik, die ebenfalls als Ersatz für Iptables gedacht ist, sich allerdings noch in der Entwicklungsphase befindet. Erste Arbeiten zu Bpfilter finden sich in Linux 4.18, das zurzeit nur als Vorschauversion bereitsteht. Bpfilter soll unter anderem eine schnellere Filterung von Paketen ermöglichen.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. (-58%) 23,99€
  3. 9,99€

RipClaw 09. Jul 2018 / Themenstart

nftables soll in der Hinsicht deutlich übersichtlicher und für Nutzer verständlicher...

Kommentieren


Folgen Sie uns
       


Nintendo E3 2018 Direct - Golem.de Live

Wir zeigen uns enttäuscht von fehlenden Infos zu Metroid 4, erfreut vom neuen Super Smash und entzückt vom neuen Fire Emblem.

Nintendo E3 2018 Direct - Golem.de Live Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  2. US Space Force Planlos im Weltraum
  3. Gewalt US-Präsident Trump will Gespräch mit Spielebranche

    •  /