Software::Netzwerk
Debian 9 »Stretch« bietet Nftables als Ersatz für Iptables
Das demnächst erwartete Debian 9 Stretch bietet mit Nftables einen Ersatz für Iptables zum Definieren von Firewall-Regeln an.
Software in the Public Interest (SPI)
Nftables kann mit Debian 9 oder bereits jetzt in Debian Testing das bisher benutzte Iptables zum Erstellen von Regeln für die Firewall des Kernels ersetzen. Das teilt Nftables-Mitentwickler Arturo Borrero aus dem Netfilter-Projekt in seinem
Blog mit. Im Testing-Repositorium liegt derzeit
nftables 0.7-1, Borrero empfiehlt mindestens Kernel 4.9 als Gegenstück dazu. Das Paket
nftables installiert die Komponenten
nft für die Steuerung per Kommandozeile sowie die Bibliothek
libnftnl. Nach der Installation und kann beispielsweise mit
nft add rule eine neue Regel hinzugefügt oder per
nft list ruleset der Satz an bereits vorhandenen Regeln angezeigt werden. Kernelseitig wird dem Kernel eine einfache virtuelle Maschine hinzugefügt, die Bytecode ausführt, um ein Netzwerk-Paket zu inspizieren und zu entscheiden, was damit geschehen soll.
Borrero betont, Nftables sei nicht nur eine Alternative zu Iptables, sondern ein vollwertiger Ersatz, der viele Vorteile gegenüber dem bisherigen Werkzeug zur Gestaltung von Firewall-Regeln biete. So sei die Syntax wesentlich verbessert und die Handhabung insgesamt einfacher geworden. Es können laut Borrero mehrere Aktionen in einer Regel zusammengefasst werden. Zudem werden weniger häufig Kernel-Updates benötigt und Updates der Regelsätze sind inkrementell, dynamisch und atomar möglich. Eine Kompatibilitätsschicht soll sich um die Anpassung bereits bestehender Iptables-Regeln kümmern.
Für den Umstieg hat das Netfilter-Projekt eine Anleitung verfasst. Darüber hinaus gibt es im Netfilter-Wiki eine umfassende Dokumentation. Einige Beispiele für Regelsätze, die typische Einsatzszenarien abdecken, finden sich nach der Installation in /usr/share/doc/nftables/examples. Ein Systemd-Service zum Laden der Regelsätze zur Bootzeit ist standardmäßig deaktiviert. Der Editor Nano beherrscht Syntax-Hervorhebung für nft. Nftables ist bereits seit Januar 2014 mit dem Erscheinen von Kernel 3.13 verfügbar.
){kind=logo}
