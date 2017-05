Software::Netzwerk

Debian 9 »Stretch« bietet Nftables als Ersatz für Iptables

Das demnächst erwartete Debian 9 Stretch bietet mit Nftables einen Ersatz für Iptables zum Definieren von Firewall-Regeln an.

Nftables kann mit Debian 9 oder bereits jetzt in Debian Testing das bisher benutzte Iptables zum Erstellen von Regeln für die Firewall des Kernels ersetzen. Das teilt Nftables-Mitentwickler Arturo Borrero aus dem Netfilter-Projekt in seinem Blog mit. Im Testing-Repositorium liegt derzeit, Borrero empfiehlt mindestens Kernel 4.9 als Gegenstück dazu. Das Paketinstalliert die Komponentenfür die Steuerung per Kommandozeile sowie die Bibliothek. Nach der Installation und kann beispielsweise miteine neue Regel hinzugefügt oder perder Satz an bereits vorhandenen Regeln angezeigt werden. Kernelseitig wird dem Kernel eine einfache virtuelle Maschine hinzugefügt, die Bytecode ausführt, um ein Netzwerk-Paket zu inspizieren und zu entscheiden, was damit geschehen soll.

Borrero betont, Nftables sei nicht nur eine Alternative zu Iptables, sondern ein vollwertiger Ersatz, der viele Vorteile gegenüber dem bisherigen Werkzeug zur Gestaltung von Firewall-Regeln biete. So sei die Syntax wesentlich verbessert und die Handhabung insgesamt einfacher geworden. Es können laut Borrero mehrere Aktionen in einer Regel zusammengefasst werden. Zudem werden weniger häufig Kernel-Updates benötigt und Updates der Regelsätze sind inkrementell, dynamisch und atomar möglich. Eine Kompatibilitätsschicht soll sich um die Anpassung bereits bestehender Iptables-Regeln kümmern.