Neue Firewall im Kernel

Nftables löst Iptables ab

Nftables löst Iptables ab

Nils Magnus
20.03.2009 Schon seit längerem diskutiert das Netfilter-Team über eine weitere Renovierung des Firewall-Codes im Linux-Kernel. Jetzt hat der Teamleiter Patrick McHardy die Ergebnisse monatelanger Arbeit unter dem Namen Nftables vorgestellt.

Die Geschichte aller bisherigen Firewall-Subsysteme ist die Geschichte von Kämpfen um mehr Flexibilität und Kompatibilität. So reiht sich Nftables als vorerst letzte Revolution in die Reihe nach "ipfw", "ipfwadm", "ipchains" und Netfilter ein. Immerhin entwickelt das selbe Team die Runderneuerung, so dass Anwender auf ein Mindestmaß an Kontinuität hoffen dürfen.

Der Umbau war notwendig geworden, da das zwar als solide arbeitend geltende Netfilter immer neue Anbauten erfuhr. Dadurch empfanden es viele Netzadmins als unhandlich. Gegenstand vieler Diskussionen war die Schnittstelle zwischen Userland-Tools und Kernel. Konnten die Tools in Netfilter bislang nur einen kompletten Regelsatz als Binär-Blob über die Netlink-Schnittstelle austauschen, so sind zukünftig auch inkrementelle Änderungen möglich.

Die Entwickler haben in Nftables weiterhin einen Großteil der Überprüfungen von Regeln vom Kernel in den Userspace verlagert, so dass der Kernelcode deutlich schlanker sei, erklärte McHardy in seiner Ankündigung auf der Entwicklerliste. Die Anwendungen nehmen eine neue Regel-Syntax entgegen, die Admins viel mehr Spielraum in der Konfiguration lässt. Das bisherige Netfilter war auf komplexe Kommandozeilenaufrufe angewiesen. Die Userland-Tools erzeigen mit Hilfe einer Bibliothek die tatsächlichen Regeln, die sie in den Kernel laden. Dort führt dieser sie nur noch aus.

Nftables führt auch einige Vereinheitlichungen ein: So ist das Subsystem jetzt unabhängig von Protokollfamilien und kann neben klassischem IPv4 auch IPv6 und Link-Layern-Pakete verwalten. Es bietet ferner direkten Zugriff auf viele Paketinterna mit einer Syntax, die wie eine Mischung aus Wireshark-Filterregeln und Assoziativen Arrys in Perl anmutet. Eine Hoffnung der Anwender machte Mchardy jedoch schnell zunichte: Er kann sich nur schwer ein Kompatibilitätslayer vorstellen, das alte Regelsätze auf das neue System abbildet. Netzadmins werden also doch wieder Handbücher wälzen müssen.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.