Netfilter: Nftables sollen in den Linux-Kernel

Im nächsten Linux-Kernel 3.12 wird es den neuen Netfilter Nftables zum Testen geben. Bis zum Erscheinen von Linux 3.13 soll er dann fest integriert werden. Nftables wird unter anderem als Framework dienen und langfristig die verschiedenen Netfilter ersetzen, darunter Iptables. Der neue Netfilter verarbeitet Daten in einer kernelinternen virtuellen Maschine und soll deshalb schneller sein als seine Vorgänger.

Nftables soll aber nicht nur als Paketfilter und Firewall dienen, sondern kann auch beispielsweise die Aufgabe des Schedulings übernehmen. Als Bytecode-Interpreter soll Nftables einheitliche Filterregeln abarbeiten können. Bislang muss für jedes Protokoll, etwa IPv4, IPv6, ARP oder Ethernet-Bridging, eigener Code eingesetzt werden, was ausgiebige Redundanz nach sich zieht.

Zum Testen im Kernel

Seit dem Sommer 2013 arbeiten nun der Netfilter-Maintainer Pablo Neira Ayuso und weitere Entwickler wieder an dem Nftables-Projekt, das ursprünglich von Patrick McHardy stammt. McHardy hatte zuletzt 2010 an dem Code gearbeitet. Inzwischen ist der Code so weit ausgereift, dass er in den Next-Zweig des Linux-Kernels eingepflegt wurde, wo er getestet werden kann.

Bis Nftables so ausgearbeitet sei, dass es Iptables, Ip6tables, Arptables und Ebtables ersetzen könne, werde allerdings noch einige Zeit vergehen, schreibt Kernel-Entwickler Jonathan Corbet. Bis dahin sollen alle Netfilter parallel im Kernel genutzt werden können.

Ein Überblick über die Nutzung von Nftables im gegenwärtigen Entwicklungsstand verschafft das von Corbet empfohlene Howto von Eric Leblond. Außerdem gibt es weitere Informationen auf der Webseite des Projekts.