Nftables löst Iptables ab

Nftables löst Iptables ab

Neue Firewall im Kernel

Nils Magnus
20.03.2009 Schon seit längerem diskutiert das Netfilter-Team über eine weitere Renovierung des Firewall-Codes im Linux-Kernel. Jetzt hat der Teamleiter Patrick McHardy die Ergebnisse monatelanger Arbeit unter dem Namen Nftables vorgestellt.

Die Geschichte aller bisherigen Firewall-Subsysteme ist die Geschichte von Kämpfen um mehr Flexibilität und Kompatibilität. So reiht sich Nftables als vorerst letzte Revolution in die Reihe nach "ipfw", "ipfwadm", "ipchains" und Netfilter ein. Immerhin entwickelt das selbe Team die Runderneuerung, so dass Anwender auf ein Mindestmaß an Kontinuität hoffen dürfen.

Der Umbau war notwendig geworden, da das zwar als solide arbeitend geltende Netfilter immer neue Anbauten erfuhr. Dadurch empfanden es viele Netzadmins als unhandlich. Gegenstand vieler Diskussionen war die Schnittstelle zwischen Userland-Tools und Kernel. Konnten die Tools in Netfilter bislang nur einen kompletten Regelsatz als Binär-Blob über die Netlink-Schnittstelle austauschen, so sind zukünftig auch inkrementelle Änderungen möglich.

Die Entwickler haben in Nftables weiterhin einen Großteil der Überprüfungen von Regeln vom Kernel in den Userspace verlagert, so dass der Kernelcode deutlich schlanker sei, erklärte McHardy in seiner Ankündigung auf der Entwicklerliste. Die Anwendungen nehmen eine neue Regel-Syntax entgegen, die Admins viel mehr Spielraum in der Konfiguration lässt. Das bisherige Netfilter war auf komplexe Kommandozeilenaufrufe angewiesen. Die Userland-Tools erzeigen mit Hilfe einer Bibliothek die tatsächlichen Regeln, die sie in den Kernel laden. Dort führt dieser sie nur noch aus.

Nftables führt auch einige Vereinheitlichungen ein: So ist das Subsystem jetzt unabhängig von Protokollfamilien und kann neben klassischem IPv4 auch IPv6 und Link-Layern-Pakete verwalten. Es bietet ferner direkten Zugriff auf viele Paketinterna mit einer Syntax, die wie eine Mischung aus Wireshark-Filterregeln und Assoziativen Arrys in Perl anmutet. Eine Hoffnung der Anwender machte Mchardy jedoch schnell zunichte: Er kann sich nur schwer ein Kompatibilitätslayer vorstellen, das alte Regelsätze auf das neue System abbildet. Netzadmins werden also doch wieder Handbücher wälzen müssen.

Ähnliche Artikel

  • Kein Durchgang
    Unter KDE bietet KMyFirewall ein komfortables grafische Frontend zur Konfiguration des Iptables-Paketfilters.
  • Grafische Firewall-Administration mit FWBuilder 2.0
    Linux bringt eine leistungsfähige Firewall mit. Sie manuell zu konfigurieren, bringt jedoch selbst Profis ins Schwitzen. Mit dem grafischen Firewall Builder dagegen behalten Sie sogar komplexe Regelwerke bequem im Griff.
  • Frontends für Iptables
    Der Umgang mit iptables leicht gemacht
  • Mauern mit Ubuntu
    Für die Standard-Firewall Ufw von Ubuntu gibt es nun auch eine grafische Oberfläche. Damit kontrollieren Sie recht einfach den Datenverkehr.
  • Programmierwettbewerb für Open-DPI-Wrapper
    Das Leipziger Unternehmen Ipoque hat einen Programmierwettbewerb für seine Traffic-Analyse-Software Open DPI ausgeschrieben. Den besten Open-DPI-Wrapper für Netfilter und seinen Bruder IPtables will es mit 500 Euro belohnen.

Kommentare

Aktuelle Fragen

Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...
lidl internetstick für linux mint
rolf meyer, 04.06.2016 14:17, 3 Antworten
hallo zusammen ich benötige eure hilfe habe einen lidl-internetstick möchte ihn auf linux mint i...
thema ändern
a b, 29.05.2016 16:34, 0 Antworten
Hallo Linuxer zuerst alle eine schönen Sonntag, bevor ich meine Frage stelle. Ich habe Ubuntu 1...
Ideenwettbewerb
G.-P. Möller, 28.05.2016 10:57, 0 Antworten
Liebe User, im Rahmen eines großen Forschungsprojekts am Lehrstuhl für Technologie- und Innova...
Welche Drucker sind Linux-mint kompatibel?
Johannes Nacke, 20.05.2016 07:32, 6 Antworten
Hallo Ihr Lieben, ich bitte um mitteilung welche Drucker Kompatibel sind mit Linux-Mint. LG Joh...