Neue Firewall im Kernel

Nftables löst Iptables ab

Nftables löst Iptables ab

Nils Magnus
20.03.2009 Schon seit längerem diskutiert das Netfilter-Team über eine weitere Renovierung des Firewall-Codes im Linux-Kernel. Jetzt hat der Teamleiter Patrick McHardy die Ergebnisse monatelanger Arbeit unter dem Namen Nftables vorgestellt.

Die Geschichte aller bisherigen Firewall-Subsysteme ist die Geschichte von Kämpfen um mehr Flexibilität und Kompatibilität. So reiht sich Nftables als vorerst letzte Revolution in die Reihe nach "ipfw", "ipfwadm", "ipchains" und Netfilter ein. Immerhin entwickelt das selbe Team die Runderneuerung, so dass Anwender auf ein Mindestmaß an Kontinuität hoffen dürfen.

Der Umbau war notwendig geworden, da das zwar als solide arbeitend geltende Netfilter immer neue Anbauten erfuhr. Dadurch empfanden es viele Netzadmins als unhandlich. Gegenstand vieler Diskussionen war die Schnittstelle zwischen Userland-Tools und Kernel. Konnten die Tools in Netfilter bislang nur einen kompletten Regelsatz als Binär-Blob über die Netlink-Schnittstelle austauschen, so sind zukünftig auch inkrementelle Änderungen möglich.

Die Entwickler haben in Nftables weiterhin einen Großteil der Überprüfungen von Regeln vom Kernel in den Userspace verlagert, so dass der Kernelcode deutlich schlanker sei, erklärte McHardy in seiner Ankündigung auf der Entwicklerliste. Die Anwendungen nehmen eine neue Regel-Syntax entgegen, die Admins viel mehr Spielraum in der Konfiguration lässt. Das bisherige Netfilter war auf komplexe Kommandozeilenaufrufe angewiesen. Die Userland-Tools erzeigen mit Hilfe einer Bibliothek die tatsächlichen Regeln, die sie in den Kernel laden. Dort führt dieser sie nur noch aus.

Nftables führt auch einige Vereinheitlichungen ein: So ist das Subsystem jetzt unabhängig von Protokollfamilien und kann neben klassischem IPv4 auch IPv6 und Link-Layern-Pakete verwalten. Es bietet ferner direkten Zugriff auf viele Paketinterna mit einer Syntax, die wie eine Mischung aus Wireshark-Filterregeln und Assoziativen Arrys in Perl anmutet. Eine Hoffnung der Anwender machte Mchardy jedoch schnell zunichte: Er kann sich nur schwer ein Kompatibilitätslayer vorstellen, das alte Regelsätze auf das neue System abbildet. Netzadmins werden also doch wieder Handbücher wälzen müssen.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...