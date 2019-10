Software::Distributionen::Debian

Debian 11 »Bullseye« setzt ganz auf NFtables als Paketfilter

Debian wird mit seiner nächsten Veröffentlichung Debian 11 »Bullseye« den Übergang von IPtables zu NFtables als Paketfilter weiter forcieren.

Software in the Public Interest (SPI)

Fast 20 Jahre lang diente IPtables im Subsystem des Kernels zum Filtern von ein- und ausgehenden Paketen. Jetzt tritt langsam das 2008 begonnene und 2014 in Kernel 3.13 aufgenommene und ebenfalls im Netfilter-Projekt entstandene NFtables an seine Stelle. War NFtables in Debian 9 »Stretch« bereits installierbar, so hat in Debian 10 »Buster« IPtables seinen letzten offiziellen Auftritt. Es nutzt aber bereitsals Backend, um den Anwendern den Übergang zu erleichtern. Wer die alten Regeln weiter nutzen möchte, kann dazu aufumschalten. Das und das weitere Vorgehen erläutert Debian-Entwickler Arturo Borrero Gonzalez vom Netfilter Packaging Team in seinem Blog

Im Sommer hatte Gonzalez seine Pläne zum weiteren Vorgehen in Sachen Paketfilter auf der Debian-Entwicklerliste erläutert. Er erklärte, die Priorität von IPtables in Debian 11 »Bullseye« herabsetzen zu wollen. IPtables verliert damit das Archiv-Attribut Priority: important, das nun NFtables zugeschlagen wird. IPtables wird zu Priority: optional herabgestuft. Das bedeutet, dass NFtables künftig automatisch in allen Debian-Ausgaben installiert und IPtables aus den Abbildern entfernt wird, im Archiv aber weiterhin verfügbar ist. Diese Änderungen hat Gonzalez mittlerweile umgesetzt.

Eine weitere geplante Änderung betrifft das Erstellen der Filterregeln. Gonzalez ist der Meinung, dass zumindest für den Bereich Desktop die Zeit der Low-Level-Tools zur Erstellung von Filterregeln vorbei ist. Deshalb schlägt er vor, Firewalld als Wrapper zum Standard zu machen. Firewalld integriere sich ziemlich gut in das System, biete eine DBus-Schnittstelle und viele System-Daemons wie etwa libvirt verfügten bereits über eine native Integration mit Firewalld.