Nftables geht in die Testphase
Mit der Freigabe einer ersten öffentlichen Version von nftables machen sich die Entwickler des Netfilter-Projektes daran, die momentan benutzte »iptables«-Architektur zu ersetzen.
Später als ursprünglich gedacht steht ab sofort allen Interessenten eine erste Testversion des nftables-Projektes zum Download bereit. Bei nftables handelt es sich um einen Nachfolger von iptables, dem Standard-Paketfilter des Linux-Kernels.
Die neue Lösung wurde nach Angaben von Patrick McHardy komplett neu geschrieben und unterscheidet sich zum Teil beträchtlich von iptables. Bereits die Kernel-Komponente verrichtet ihre Arbeit auf einem ganz anderen Weg, als es noch die »iptables«-Architektur machte, und umgeht so die Limitierungen des alten Systems. So soll die Lösung komplett ohne Sperren arbeiten und keinen Unterschied mehr zwischen Protokollen machen. Technisch gesehen führt die Komponente nur noch Kommandos aus. So findet auch die semantische Prüfung der Richtlinien nicht mehr im Kernel statt. Die Vorteile der Lösung sind eine geringere Größe, Erweiterbarkeit und Geschwindigkeit.
Eine zweite Komponente von nftables stellt die Bibliothek libnl dar. Sie übernimmt die Kommunikation zwischen dem Kernel und den Prozessen. Gerade im Userland finden sich auch die größten Unterschiede zwischen iptables und nftables. Die Klassifizierungssprache der neuen Lösung basiert auf einer ähnlichen Syntax wie die von iptables. Hier hören allerdings schon die Gemeinsamkeiten auf. Ein bison-basierter Parser wandelt die Kommandos in einen Syntax-Baum um. Im Userland findet nun auch die Überprüfung der Regeln und die Auflösung von Konflikten oder Voraussetzungen statt. Dabei wollen die Entwickler dem Anwender so viele Freiheiten wie nur möglich lassen, um für ihn geeignete Regeln zu erstellen. Eine genaue Beschreibung der Kommandos liefert die Ankündigungsmail und die Dokumentation des Projektes.
Nftables befindet sich laut Aussage des Autors in einer sehr frühen Phase der Entwicklung. Der Autor selbst spricht von Alpha-Qualität. Dementsprechend sollte die Lösung nur von interessierten Entwicklern genutzt werden. Die Basisfunktionalität sei allerdings bereits implementiert worden.
