Iptables 1.8: Linux-Firewall-Tool bringt moderne Nftables-Funktionen

Die Paketfilter-Technik nftables ist dabei, das klassische Frontend iptables abzulösen. Der iptables-Befehl passt sich dem nun langsam an.

In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen
Iptables 1.8: Linux-Firewall-Tool bringt moderne Nftables-Funktionen

(Bild: Pixabay)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Die jetzt veröffentlichte Version 1.8 der Linux-Firewall-Tools iptables unterscheidet nun explizit zwischen Funktionen, die auf dem traditionellen iptables-Frontend und der neueren nftables-Technik beruhen. Nftables schickt sich momentan an, die in die Jahre gekommene iptables-Technik abzulösen und ist eines von zwei neuen Firewall-Werkzeugen für Linux – mit bpfilter gibt es noch eine weitere, momentan noch sehr experimentelle Technik, die ebenfalls iptables ablösen könnte.

Viele der iptables-Kommandos nehmen nun als Teil ihrer Flags die Zusätze -legacy- und -nft- entgegen; etwa ip6tables-legacy-save oder ip6tables-nft-save. Bei der ersten Wahl wird der Befehl auf die klassische iptables-Komponenten angewendet, letztere wählt dafür nftables aus. Mit dem Kommando --version kann der Anwender zusätzlich herausfinden, ob iptables (legacy) oder nftables (nf_tables) intern beim Kernel zum Einsatz kommt. Die Befehle xtables-monitor, ebtables und arptables, basierend auf dem nftables-Backend, sind neu hinzugekommen. Mit dem neuen Befehl translate können sich Anwender außerdem klassischen iptables-Syntax in nftables-kompatible Eingaben übersetzen lassen.

Momentan empfehlen die Netfilter-Entwickler den Machern von Linux-Distributionen, die auf der klassischen iptables-Technik basierenden legacy-Befehle als Standard zu verwenden. Die neueren nftables-Funktionen sind demnach noch als experimentell anzusehen. Ein Vorteil der neueren Technik ist etwa, dass sich iptables-Regeln im laufenden Betrieb mit xtables-monitor debuggen lassen.

Die iptables-Änderungen sind nicht die einzigen grundlegenden Neuerungen, an denen die Linux-Entwickler gerade arbeiten. (fab)