Neue Firewall im Kernel

Nftables löst Iptables ab

Nftables löst Iptables ab

Nils Magnus
20.03.2009 Schon seit längerem diskutiert das Netfilter-Team über eine weitere Renovierung des Firewall-Codes im Linux-Kernel. Jetzt hat der Teamleiter Patrick McHardy die Ergebnisse monatelanger Arbeit unter dem Namen Nftables vorgestellt.

Die Geschichte aller bisherigen Firewall-Subsysteme ist die Geschichte von Kämpfen um mehr Flexibilität und Kompatibilität. So reiht sich Nftables als vorerst letzte Revolution in die Reihe nach "ipfw", "ipfwadm", "ipchains" und Netfilter ein. Immerhin entwickelt das selbe Team die Runderneuerung, so dass Anwender auf ein Mindestmaß an Kontinuität hoffen dürfen.

Der Umbau war notwendig geworden, da das zwar als solide arbeitend geltende Netfilter immer neue Anbauten erfuhr. Dadurch empfanden es viele Netzadmins als unhandlich. Gegenstand vieler Diskussionen war die Schnittstelle zwischen Userland-Tools und Kernel. Konnten die Tools in Netfilter bislang nur einen kompletten Regelsatz als Binär-Blob über die Netlink-Schnittstelle austauschen, so sind zukünftig auch inkrementelle Änderungen möglich.

Die Entwickler haben in Nftables weiterhin einen Großteil der Überprüfungen von Regeln vom Kernel in den Userspace verlagert, so dass der Kernelcode deutlich schlanker sei, erklärte McHardy in seiner Ankündigung auf der Entwicklerliste. Die Anwendungen nehmen eine neue Regel-Syntax entgegen, die Admins viel mehr Spielraum in der Konfiguration lässt. Das bisherige Netfilter war auf komplexe Kommandozeilenaufrufe angewiesen. Die Userland-Tools erzeigen mit Hilfe einer Bibliothek die tatsächlichen Regeln, die sie in den Kernel laden. Dort führt dieser sie nur noch aus.

Nftables führt auch einige Vereinheitlichungen ein: So ist das Subsystem jetzt unabhängig von Protokollfamilien und kann neben klassischem IPv4 auch IPv6 und Link-Layern-Pakete verwalten. Es bietet ferner direkten Zugriff auf viele Paketinterna mit einer Syntax, die wie eine Mischung aus Wireshark-Filterregeln und Assoziativen Arrys in Perl anmutet. Eine Hoffnung der Anwender machte Mchardy jedoch schnell zunichte: Er kann sich nur schwer ein Kompatibilitätslayer vorstellen, das alte Regelsätze auf das neue System abbildet. Netzadmins werden also doch wieder Handbücher wälzen müssen.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Admin Probleme mit Q4os
Thomas Weiss, 30.03.2015 20:27, 6 Antworten
Hallo Leute, ich habe zwei Fragen zu Q4os. Die Installation auf meinem Dell Latitude D600 verl...
eeepc 1005HA externer sound Ausgang geht nicht
Dieter Drewanz, 18.03.2015 15:00, 1 Antworten
Hallo LC, nach dem Update () funktioniert unter KDE der externe Soundausgang an der Klinkenbuc...
AceCad DigiMemo A 402
Dr. Ulrich Andree, 15.03.2015 17:38, 2 Antworten
Moin zusammen, ich habe mir den elektronischen Notizblock "AceCad DigiMemo A 402" zugelegt und m...
Start-Job behindert Bootvorgang, Suse 13.2, KDE,
Wimpy *, 20.02.2015 10:32, 4 Antworten
Beim Bootvorgang ist ein Timeout von 1 Min 30 Sec. weil eine Partition sdb1 gesucht und nicht gef...
Konfiguration RAID 1 mit 2 SSDs: Performance?
Markus Mertens, 16.02.2015 10:02, 6 Antworten
Hallo! Ich möchte bei einer Workstation (2x Xeon E5-2687Wv3, 256GB RAM) 2 SATA-SSDs (512GB) al...