Netfilter: Nftables sollen in den Linux-Kernel
Nach langjähriger Pause ist die Entwicklung des Netfilters Nftables wieder aufgenommen worden. Der Code wird in den Linux-Kernel integriert und dort vermutlich Iptables ablösen.
Im nächsten Linux-Kernel 3.12 wird es den neuen Netfilter Nftables zum Testen geben. Bis zum Erscheinen von Linux 3.13 soll er dann fest integriert werden. Nftables wird unter anderem als Framework dienen und langfristig die verschiedenen Netfilter ersetzen, darunter Iptables. Der neue Netfilter verarbeitet Daten in einer kernelinternen virtuellen Maschine und soll deshalb schneller sein als seine Vorgänger.
Nftables soll aber nicht nur als Paketfilter und Firewall dienen, sondern kann auch beispielsweise die Aufgabe des Schedulings übernehmen. Als Bytecode-Interpreter soll Nftables einheitliche Filterregeln abarbeiten können. Bislang muss für jedes Protokoll, etwa IPv4, IPv6, ARP oder Ethernet-Bridging, eigener Code eingesetzt werden, was ausgiebige Redundanz nach sich zieht.
Zum Testen im Kernel
Seit dem Sommer 2013 arbeiten nun der Netfilter-Maintainer Pablo Neira Ayuso und weitere Entwickler wieder an dem Nftables-Projekt, das ursprünglich von Patrick McHardy stammt. McHardy hatte zuletzt 2010 an dem Code gearbeitet. Inzwischen ist der Code so weit ausgereift, dass er in den Next-Zweig des Linux-Kernels eingepflegt wurde, wo er getestet werden kann.
Bis Nftables so ausgearbeitet sei, dass es Iptables, Ip6tables, Arptables und Ebtables ersetzen könne, werde allerdings noch einige Zeit vergehen, schreibt Kernel-Entwickler Jonathan Corbet. Bis dahin sollen alle Netfilter parallel im Kernel genutzt werden können.
Ein Überblick über die Nutzung von Nftables im gegenwärtigen Entwicklungsstand verschafft das von Corbet empfohlene Howto von Eric Leblond. Außerdem gibt es weitere Informationen auf der Webseite des Projekts.
Genau, IPTables war nun jahrelang zuverlässig und funktioniert einfach. Die Syntax ist...