Neue Firewall im Kernel

Nftables löst Iptables ab

Nftables löst Iptables ab

Nils Magnus
20.03.2009 Schon seit längerem diskutiert das Netfilter-Team über eine weitere Renovierung des Firewall-Codes im Linux-Kernel. Jetzt hat der Teamleiter Patrick McHardy die Ergebnisse monatelanger Arbeit unter dem Namen Nftables vorgestellt.

Die Geschichte aller bisherigen Firewall-Subsysteme ist die Geschichte von Kämpfen um mehr Flexibilität und Kompatibilität. So reiht sich Nftables als vorerst letzte Revolution in die Reihe nach "ipfw", "ipfwadm", "ipchains" und Netfilter ein. Immerhin entwickelt das selbe Team die Runderneuerung, so dass Anwender auf ein Mindestmaß an Kontinuität hoffen dürfen.

Der Umbau war notwendig geworden, da das zwar als solide arbeitend geltende Netfilter immer neue Anbauten erfuhr. Dadurch empfanden es viele Netzadmins als unhandlich. Gegenstand vieler Diskussionen war die Schnittstelle zwischen Userland-Tools und Kernel. Konnten die Tools in Netfilter bislang nur einen kompletten Regelsatz als Binär-Blob über die Netlink-Schnittstelle austauschen, so sind zukünftig auch inkrementelle Änderungen möglich.

Die Entwickler haben in Nftables weiterhin einen Großteil der Überprüfungen von Regeln vom Kernel in den Userspace verlagert, so dass der Kernelcode deutlich schlanker sei, erklärte McHardy in seiner Ankündigung auf der Entwicklerliste. Die Anwendungen nehmen eine neue Regel-Syntax entgegen, die Admins viel mehr Spielraum in der Konfiguration lässt. Das bisherige Netfilter war auf komplexe Kommandozeilenaufrufe angewiesen. Die Userland-Tools erzeigen mit Hilfe einer Bibliothek die tatsächlichen Regeln, die sie in den Kernel laden. Dort führt dieser sie nur noch aus.

Nftables führt auch einige Vereinheitlichungen ein: So ist das Subsystem jetzt unabhängig von Protokollfamilien und kann neben klassischem IPv4 auch IPv6 und Link-Layern-Pakete verwalten. Es bietet ferner direkten Zugriff auf viele Paketinterna mit einer Syntax, die wie eine Mischung aus Wireshark-Filterregeln und Assoziativen Arrys in Perl anmutet. Eine Hoffnung der Anwender machte Mchardy jedoch schnell zunichte: Er kann sich nur schwer ein Kompatibilitätslayer vorstellen, das alte Regelsätze auf das neue System abbildet. Netzadmins werden also doch wieder Handbücher wälzen müssen.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Fernwartung oder wartung im haus
heide marie voigt, 29.06.2015 10:37, 2 Antworten
gerne hätte ich jemanden in Bremen nord, der mir weiter hilft - angebote bitte mit preis HMVoigt
Druckeranschluss DCP-195C
heide marie voigt, 29.06.2015 10:35, 1 Antworten
installiert ist linux ubuntu 15.04 offenbar auch der treiber für den Drucker DCP-195C. Die Konta...
keine arbeitsleiste beim einloggen
heide marie voigt, 27.06.2015 13:31, 0 Antworten
seit der neu-installierung von linux ubuntu 15.04 erscheint die arbeitsleiste rechts oben erst na...
raid platte an linux mint 17.1
andreas schug, 23.06.2015 19:44, 1 Antworten
folgende thematik NAS Iomega Storage Center wird auf einmal nicht mehr im netzwerk erkannt .....
SUSE 13.2 - Probleme mit kmail
kris kelvin, 03.06.2015 13:26, 2 Antworten
Hallo, nach dem Umstieg auf 13.1 hatte ich das Problem, daß kmail extrem langsam reagierte. Nun...