Login
Login-Name Passwort


 
Newsletter
Werbung

Mi, 22. Januar 2014, 13:37

Software::Systemverwaltung

Erste Version des nftables-Werkzeugs veröffentlicht

Nachdem nftables, der Nachfolger für die iptables-Firewall im Linux-Kernel in Linux 3.13 erschienen ist, hat das Netfilter-Team jetzt auch das passende Werkzeug dazu vorgestellt.

Larry Ewing

nftables ist ein Netfilter-Projekt, das die vorhandenen Implementierungen von Firewall-Code, der neben IPv4 auch IPv6, ARP und Bridges abdeckt, durch einen Nachfolger ersetzen will. Dieser Nachfolger, der mit einem neuen Administrationsprogramm »nft« einher geht, baut auf die Netfilter-Infrastruktur auf und wird damit weiterhin das Ausführen von Funktionen beim Eintreten bestimmter Ereignisse, Connection Tracking, Senden von Paketen an Benutzerprozesse und Logging ermöglichen.

Nach langen Vorarbeiten wurde nftables kürzlich in den Kernel integriert und in Linux 3.13 erstmals offiziell verfügbar. Die Arbeit ist aber mit der Integration in Linux 3.13 noch nicht abgeschlossen, und einen vollständigen Ersatz für die bisherigen Filter wird nftables erst einige Versionen später bieten. Die bisherigen iptables sind daher immer noch vorhanden.

Trotz einiger noch fehlender Funktionen kann man nftables in Linux 3.13 bereits nutzen. Das soll auch mit den bisherigen Programmen iptables und ip6tables möglich sein, da nftables mit iptables kompatibel sein soll. Damit lassen sich aber nicht alle neuen Möglichkeiten von nftables ausschöpfen. Das Netfilter-Team hat allerdings erweiterte Versionen von iptables und ip6tables veröffentlicht, die einen erweiterten Funktionsumfang bieten und die gleiche Syntax benutzen wie bisher. Sie sind von Vorteil, wenn man noch nicht umlernen oder noch Programme oder Skripte nutzen will, die auf iptables aufbauen.

Für alle anderen hat das Netfilter-Team jetzt die erste Version von nft veröffentlicht, die man in einem Paket »nftables« mit der Versionsnummer 0.099 findet. nft ersetzt die vorhandenen Programme iptables, ip6tables, arptables und ebtables durch ein einzelnes Programm vollständig, besitzt aber eine ganz neue Syntax. Mehr dazu findet man in einem Howto von Eric Leblond und auf kernelnewbies.org.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung