Software::Kernel
iptables 1.8 mit neuen nftables-basierten Varianten
Das Netfilter-Team hat die neue Version 1.8 von iptables freigegeben. iptables ist eine Programmsammlung zur Verwaltung von Paketfilter-Regeln für Linux.
Larry Ewing
Paketfilter-Regeln legen fest, welche Netzwerkpakete von welcher Netzwerkschnittstelle zu welcher fließen dürfen und welche eventuell abgelehnt oder verworfen werden. Auch Network Address Translation, Logging und sogar Änderungen an den Paketen können mit diesen Regeln definiert werden. Eine der verbreitetsten Anwendungen ist die Einrichtung von Firewalls. Unter Linux änderte sich das Paketfilter-Subsystem im Lauf über 25-jährigen Geschichte mehrfach, von anfänglich ipfw zu ipchains in Linux 2.2 und iptables ab Linux 2.4. Trotz massiver Änderungen im Kernel blieb die Schnittstelle nach außen, das Programm iptables, seit dieser Zeit ziemlich konstant.
Die größte Neuerung in iptables 1.8 ist, dass die Werkzeuge jetzt in zwei Varianten kommen. Die Programme mit der Endung -legacy entsprechen den bisherigen Werkzeugen. Ihre größten Änderungen gegenüber der bisherigen Version 1.6.2 sind Erweiterungen und Korrekturen.
Ab sofort steht ein zweiter Satz von Kommandos mit der Endung -nft bereit. Syntaktisch unterscheidet sich diese Sammlung von Kommandos kaum von der Legacy-Sammlung. Intern benutzt sie allerdings nftables, die zahlreiche Vorteile gegenüber den älteren iptables aufweisen und laut Arturo Borrero Gonzalez eine höhere Leistung aufweisen, was bei umfangreichen Regelsätzen durchaus bedeutsam ist, und außerdem zusätzliche Funktionalität und eine neue Semantik bringen.
nftables steht im Linux-Kernel seit Version 3.13 und somit seit gut viereinhalb Jahren zur Verfügung. Zuvor lief die Entwicklung bereits mindestens vier Jahre. Anfänglich stellte es noch keinen vollständigen Ersatz für iptables dar, weshalb beide Systeme parallel im Kernel existieren. Ob nftables in der Funktionalität inzwischen mit iptables gleichgezogen hat, ist nicht ganz klar. Allerdings besitzt es auch Funktionen, die es in iptables nicht gibt. Auf jeden Fall ist es das modernere und schnellere System. Neben iptables steht auch das spezielle Programm nft zur Verwaltung von nftables zur Verfügung.
iptables 1.8.0 steht im Quellcode auf netfilter.org zum freien Download zur Verfügung. Binärpakete stellen die Distributionen im Laufe der Zeit bereit.
){kind=small}
