Konfigurations-Tool für neuen Firewall-Mechanismus von Linux
Die Netfilter-Entwickler haben das Programm nftables veröffentlicht, das langfristig bestehende Linux-Firewall-Tools wie iptables ablösen soll.
Im Fahrwasser der Veröffentlichung von Linux 3.13 hat Patrick McHardy das Tool nftables 0.099 veröffentlicht, mit dem sich der beim Kernel 3.13 eingeführte Paket-Filter-Subsystem Nftables einrichten lässt. McHardy hat den Firewall-Mechanismus Nftables vor einigen Jahren erfunden und betont in der Freigabe-Mail, das Protokoll-unabhängige Nftables-Subsystem solle langfristig die bisherigen Kernel-Paket-Filter ersetzen; damit meint er ip_tables, ip6_tables, arp_tables und ebtables, die sich über Userland-Werkzeuge mit ähnlichen Namen konfigurieren lassen.
McHardy beschreibt die Nftables-Architektur in der Freigabe-Mail noch etwas näher und reißt einige Beispiele zum Einsatz von nftables an. Dabei geht er auch auf Unterschiede zu den bislang verwendeten Firewall-Konfigurations-Werkzeugen iptables und ip6tables ein, die eine andere Syntax aufweisen; über Kompatibilitätscode im Kernel und Nftables-kompatible Varianten von iptables und ip6tables lassen sich für die alten Werkzeuge geschriebenen Firewall-Regeln auch mit dem Nftables-Subsystem verwenden.
Der Code des Userland-Werkzeugs ist nach Ansicht McHardys ausgereift genug für Tests, habe aber noch keine Produktionsreife. Mit der neuen Version hat der Entwickler auch den Codenamen des Werkzeugs geändert, das Anfangs auf "schäublefilter" hörte, um auf die Aktivitäten des früheren deutschen Innenministers anzuspielen. Der derzeitige NSA-Chef stand beim neuen Namen "keith-alexander-filter" Pate; der soll andeuten, dass Nftables bislang keine Hintertür der NSA habe. (thl)
