Neuer Firewall-Code für Linux 3.13 aufgenommen
In den Linux-Kernel ist Code eingeflossen, der langfristig den Netfilter-Code im Kernel ersetzen soll, mit dem Linux-Firewalls bislang Pakete filtern; zum Kernel stieß auch Unterstützung für den Tegra 4 und den Xeon Phi.
Linus Torvalds hat das Nftables-Framework in den Linux-Kernel aufgenommen, das langfristig den Netfilter-Code ersetzen soll, mit dem Linux-Firewalls bislang Pakete filtern. Einer der Vorteile des neuen Ansatzes: Die Prüfung und Verarbeitung der Netzwerkpakete erfolgt mit Byte-Code in einer "virtuellen Maschine", wie es Netzwerk-Subsystem-Betreuer David Miller umschreibt.
Der Byte-Code sei Protokoll-unabhängig und lassen sich zur Laufzeit anpassen. Dadurch lassen sich Filter-Regeln jetzt im Betrieb verändern, ohne das ganze Regelwerk neu aufbauen zu müssen. Weitere Vorteile und Hintergründe von Nftables erläutern die Entwickler des Netfilter-Codes von Linux auf ihrer Homepage.
Durch die Aufnahme in den Hauptentwicklerzweig von Linux sollte Nftables Bestandteil des Kernels 3.13 werden – zumindest sofern nicht noch größere Probleme auftauchen, was bei der Kernel-Entwicklung allerdings eher selten passiert. Nftables ist indes nur eine von fast 6500 Änderungen, die Torvalds seit der Veröffentlichung von Linux 3.12 in den Hauptentwicklungszweig von Linux aufgenommen hat; unter ihnen war auch Unterstützung für Nvidias Tegra 4 oder Intels Xeon Phi.
Die Phase zur Aufnahme der größten Änderungen für die Anfang Januar erwartete Kernel-Version 3.13 läuft noch eineinhalb Wochen; in denen dürften noch die Änderungen an Grafiktreibern und das "Multi-queue Block IO Queueing Mechanism" einziehen, durch den PCIe-SSDs, NVMe-Devices und andere schnelle Datenträger mehr Leistung erzielen sollen. (thl)
