Login
Newsletter
Werbung

Di, 22. Oktober 2013, 16:48

Software::Security

Neue Firewall nftables für Linux 3.13 geplant

Seit mehreren Jahren wird bereits an einem Nachfolger für die iptables-Firewall im Linux-Kernel gearbeitet. Nun sieht es so aus, als würde der Code erstmals in Linux 3.13 erscheinen.

Larry Ewing

nftables ist ein Netfilter-Projekt, das die vorhandenen Implementierungen von Firewall-Code, der neben IPv4 auch IPv6, ARP und Bridges abdeckt, durch einen Nachfolger ersetzen will. Dieser Nachfolger, der mit einem neuen Administrationsprogramm »nft« einher geht, baut auf die Netfilter-Infrastruktur auf und wird damit weiterhin das Ausführen von Funktionen beim Eintreten bestimmter Ereignisse, Connection Tracking, Senden von Paketen an Benutzerprozesse und Logging ermöglichen.

nftables wird Werkzeuge mitbringen, die mit den bisherigen iptables bzw. ip6tables kompatibel sind. Das System wird stärker als die bisherigen Implementationen von Firewalls in Linux an die Berkeley Packet Filters (BPF) erinnern. Insbesondere wird es im Kernel einen Pseudo-Zustandsautomaten geben, der Bytecode auf sichere Weise ausführen kann. Der Bytecode wird von den Administrationswerkzeugen aus den vom Administrator definierten Regeln erzeugt und an den Kernel übergeben.

Da der Befehlssatz des Pseudo-Zustandsautomaten sehr umfassend ist, können alle bisherigen Paketselektoren, die als separate Kernel-Module jeweils für jedes unterstützte Protokoll separat implementiert waren, entfallen. Eine große Menge von oft dupliziertem C-Code wird damit aus dem Kernel verschwinden. Für neue Funktionen wird kein Kernel-Update mehr nötig sein, da der größte Teil davon in den Administrationsprogrammen erledigt wird.

Ein weiterer Vorteil von nftables wird sein, dass es die vorhandenen Programme iptables, ip6tables, arptables und ebtables durch ein einzelnes Programm vollständig ersetzt, sobald man sich an die neue Syntax gewöhnt hat. Die Datenstrukturen im Kernel sind zudem auf hohe Leistung ausgelegt. Lineare Suche in Listen soll damit weitgehend der Vergangenheit angehören.

Da Linux 3.12 bereits in einer späten Testphase ist, werden die nftables in dieser Kernel-Version noch nicht erscheinen. Sie wurden jetzt aber in den Entwickler-Kernel linux-next aufgenommen, von wo sie nach Linux 3.13 wandern könnten, wenn keine Probleme auftreten. Die Arbeit ist mit der Integration in Linux 3.13 noch nicht abgeschlossen, und einen vollständigen Ersatz für die bisherigen Filter wird nftables erst einige Versionen später bieten. Wer nftables jetzt schon testen will, findet bei Eric Leblond eine Anleitung zum Compilieren eines eigenen Kernels und der Administrationswerkzeuge.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung