• IT-Karriere:
  • Services:

Netfilter: Iptables 1.8 bringt bessere Werkzeuge für Nftables-Backend

Die aktuelle Version 1.8 der Firewall-Userspace-Werkzeuge Iptables für Linux trennt stärker zwischen dem alten Backend und dem neuen Nftables-Backend. Für letzteres gibt es einige neue Werkzeuge, darunter auch Übersetzungsskripte für die alten Firewall-Regeln.

Artikel veröffentlicht am ,
Die Standardwerkzeuge für die Linux-Firewall trennen besser zwischen Alt und Neu.
Die Standardwerkzeuge für die Linux-Firewall trennen besser zwischen Alt und Neu. (Bild: Blickpixel, pixabay.com/CC0 1.0)

Das Netfilter-Team hat die Version 1.8 seiner Userspace-Werkzeug-Sammlung Iptables für die Linux-Firewall-Technik veröffentlicht. Neben einigen kleineren Verbesserungen ist die wohl wichtigste Neuerung die "markante Trennung" zwischen dem klassischen Iptables-Frontend, das die gleichnamige Kernel-Technik verwendet, und dem neuen Iptables-Frontend, das intern auf die neuere Kernel-Technik Nftables zugreift.

Stellenmarkt
  1. Die Autobahn GmbH des Bundes, Hamm, Münster, Gelsenkirchen
  2. DAVASO GmbH, Leipzig-Mölkau

Über die Kommandozeilenoption --version können Nutzer der aktuellen Version herausfinden, welche Kernel-Technik intern genutzt wird. Die üblichen Kommandozeilenaufrufe, etwas für save und restore, verwenden darüber hinaus nun die Anhängsel -legacy für die Iptables-Technik sowie -nft für Nftables. Zusätzlich dazu sind weitere Kommandos verfügbar, die das Nftables-Backend nutzen.

Dazu gehört xtables-monitor, mit dem Regeländerungen angezeigt werden können ebenso wie Paket-Traces, um die Regeln eventuell zu debuggen. Die neuen Werkzeuge ebtables für Ethernet-Bridging und arptables für ARP-Paketfilterregeln auf Basis von Nftables sollen einen Drop-in-Ersatz für die bisherigen Werkzeuge liefern. Hinzugekommen ist darüber hinaus eine kleine Werkzeugsammlung mit dem Namen translate. Dabei handelt es sich um Konvertierungsskripte, die die Iptables-Syntax so transferieren, dass diese von dem nativen Nftables-Werkzeug nft gelesen werden kann.

Neue Werkzeuge vorerst experimentell

Distributoren empfiehlt das Team, vorerst weiter die Legacy-Werkzeuge als stabile Veröffentlichungen an ihre Nutzer weiterzureichen. Experimentell sollten darüber hinaus die neuen Werkzeuge auf Basis der Nftables als Alternative für Nutzer bereitgestellt werden.

Golem Akademie
  1. Advanced Python - Fortgeschrittene Programmierthemen
    3./4. Mai 2021, online
  2. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

Nftables ist seit mehr als vier Jahren Teil von Linux und soll langfristig Iptables ablösen. Mit Bpfilter arbeiten die Linux-Entwickler inzwischen an einer dritten Firewall-Technik, die ebenfalls als Ersatz für Iptables gedacht ist, sich allerdings noch in der Entwicklungsphase befindet. Erste Arbeiten zu Bpfilter finden sich in Linux 4.18, das zurzeit nur als Vorschauversion bereitsteht. Bpfilter soll unter anderem eine schnellere Filterung von Paketen ermöglichen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,25
  2. 4,49€
  3. 5,99€

RipClaw 09. Jul 2018

nftables soll in der Hinsicht deutlich übersichtlicher und für Nutzer verständlicher...


Folgen Sie uns
       


Mafia (2002) - Golem retro_

Wer in der Mafia hoch hinaus will, muss loyal sein - ansonsten verstößt ihn die Familie. In Golem retro_ haben wir das erneut selbst erlebt.

Mafia (2002) - Golem retro_ Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /