Abo
  • Services:

Netfilter: Iptables 1.8 bringt bessere Werkzeuge für Nftables-Backend

Die aktuelle Version 1.8 der Firewall-Userspace-Werkzeuge Iptables für Linux trennt stärker zwischen dem alten Backend und dem neuen Nftables-Backend. Für letzteres gibt es einige neue Werkzeuge, darunter auch Übersetzungsskripte für die alten Firewall-Regeln.

Artikel veröffentlicht am ,
Die Standardwerkzeuge für die Linux-Firewall trennen besser zwischen Alt und Neu.
Die Standardwerkzeuge für die Linux-Firewall trennen besser zwischen Alt und Neu. (Bild: Blickpixel, pixabay.com/CC0 1.0)

Das Netfilter-Team hat die Version 1.8 seiner Userspace-Werkzeug-Sammlung Iptables für die Linux-Firewall-Technik veröffentlicht. Neben einigen kleineren Verbesserungen ist die wohl wichtigste Neuerung die "markante Trennung" zwischen dem klassischen Iptables-Frontend, das die gleichnamige Kernel-Technik verwendet, und dem neuen Iptables-Frontend, das intern auf die neuere Kernel-Technik Nftables zugreift.

Stellenmarkt
  1. Sattel Business Solutions GmbH, Langenau
  2. Deutsche Energie-Agentur GmbH (dena), Berlin

Über die Kommandozeilenoption --version können Nutzer der aktuellen Version herausfinden, welche Kernel-Technik intern genutzt wird. Die üblichen Kommandozeilenaufrufe, etwas für save und restore, verwenden darüber hinaus nun die Anhängsel -legacy für die Iptables-Technik sowie -nft für Nftables. Zusätzlich dazu sind weitere Kommandos verfügbar, die das Nftables-Backend nutzen.

Dazu gehört xtables-monitor, mit dem Regeländerungen angezeigt werden können ebenso wie Paket-Traces, um die Regeln eventuell zu debuggen. Die neuen Werkzeuge ebtables für Ethernet-Bridging und arptables für ARP-Paketfilterregeln auf Basis von Nftables sollen einen Drop-in-Ersatz für die bisherigen Werkzeuge liefern. Hinzugekommen ist darüber hinaus eine kleine Werkzeugsammlung mit dem Namen translate. Dabei handelt es sich um Konvertierungsskripte, die die Iptables-Syntax so transferieren, dass diese von dem nativen Nftables-Werkzeug nft gelesen werden kann.

Neue Werkzeuge vorerst experimentell

Distributoren empfiehlt das Team, vorerst weiter die Legacy-Werkzeuge als stabile Veröffentlichungen an ihre Nutzer weiterzureichen. Experimentell sollten darüber hinaus die neuen Werkzeuge auf Basis der Nftables als Alternative für Nutzer bereitgestellt werden.

Nftables ist seit mehr als vier Jahren Teil von Linux und soll langfristig Iptables ablösen. Mit Bpfilter arbeiten die Linux-Entwickler inzwischen an einer dritten Firewall-Technik, die ebenfalls als Ersatz für Iptables gedacht ist, sich allerdings noch in der Entwicklungsphase befindet. Erste Arbeiten zu Bpfilter finden sich in Linux 4.18, das zurzeit nur als Vorschauversion bereitsteht. Bpfilter soll unter anderem eine schnellere Filterung von Paketen ermöglichen.



Anzeige
Hardware-Angebote
  1. 211,71€ für Prime-Mitglieder
  2. 99,99€ (versandkostenfrei)
  3. (u. a. Fractal Design Meshfy Light Tint 69,90€)

RipClaw 09. Jul 2018

nftables soll in der Hinsicht deutlich übersichtlicher und für Nutzer verständlicher...


Folgen Sie uns
       


Xiaomi Mi 9 - Hands on (MWC 2019)

Xiaomi bringt das Mi 9 nach Europa. Der Europastart wurde auf dem Mobile World Congress 2019 in Barcelona verkündet. Das Topsmartphone hat eine Triple-Kamera mit bis zu 48 Megapixeln. Es liefert für einen Preis ab 450 Euro eine sehr gute technische Ausstattung.

Xiaomi Mi 9 - Hands on (MWC 2019) Video aufrufen
Thyssen-Krupp Testturm Rottweil: Herr Fetzer parkt die Aufzugkabine um
Thyssen-Krupp Testturm Rottweil
Herr Fetzer parkt die Aufzugkabine um

Ohne Aufzüge gäbe es keine Hochhäuser. Aber inzwischen sind Wolkenkratzer zu hoch für herkömmliche Systeme. Thyssen-Krupp testet derzeit einen neuartigen Aufzug, der beliebig hoch fahren kann. Inspiriert ist er vom Paternoster und dem Transrapid. Wir waren im Testturm.
Ein Bericht von Werner Pluta

  1. Ceramic Speed Hätte, hätte - Fahrrad ohne Kette
  2. Geheimdienste und Bundeswehr Masterstudiengang für Staatshacker gestartet
  3. Sonitus Technologies Zahnmikrofon sorgt für klare Kommunikation

Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

FreeNAS und Windows 10: Der erste NAS-Selbstbau macht glücklich
FreeNAS und Windows 10
Der erste NAS-Selbstbau macht glücklich

Es ist gar nicht so schwer, wie es aussieht: Mit dem Betriebssystem FreeNAS, den richtigen Hardwarekomponenten und Tutorials baue ich mir zum ersten Mal ein NAS-System auf und lerne auf diesem Weg viel darüber - auch warum es Spaß macht, selbst zu bauen, statt fertig zu kaufen.
Ein Erfahrungsbericht von Oliver Nickel

  1. TS-332X Qnaps Budget-NAS mit drei M.2-Slots und 10-GBit-Ethernet

    •  /