zurück zum Artikel

Neuer Firewall-Code für den Linux-Kernel

Dr. Oliver Diedrich

Das neue Firewall-Subsystem Nftables könnte bereits im übernächsten Linux-Kernel 3.13 enthalten sein. Langfristig soll es den Netfilter-Code ablösen.

Kernel-Entwickler David Miller, zuständig für den Netzwerk-Code im Linux-Kernel, hat den neuen Firewall-Code Nftables in seinen Kernel-Zweig aufgenommen. Nftables könnte damit bereits als Option im übernächsten Linux-Kernel 3.13 enthalten sein, der um die Jahreswende veröffentlicht werden dürfte.

Derzeit liefert der Netfilter-Code die Firewall-Funktionen im Kernel. Firewall-Regeln, die mit dem Kommandozeilen-Tool iptables erzeugt werden, weisen den Kernel an, ein- und ausgehende IP-Pakete nach Kriterien wie der Quell- und Ziel-IP-Adresse, dem angesprochenen TCP-Port oder Zustandsvariablen wie der Zugehörigkeit zu einer bestehenden Bedingung zu filtern. Netfilter und iptables wurden 2001 mit dem Kernel 2.4 eingeführt.

Ein Problem des Netfilter-Codes ist seine Protokollspezifität: Unterschiedlicher Code stellt die gleiche Funktion für IPv4, IPv6, ARP und Ethernet-Bridging bereit. Nftables ersetzt diesen Code durch eine einheitliche Filter-Engine, die mit allen Protokollen umgehen kann. Zudem bietet Nftables über eine Netlink-Schnittstelle einfachere Mechanismen, den bestehenden Satz an Firewall-Regeln im laufenden Betrieb anpassen und einzelne Regeln zu ersetzen. Ein Nftables-Howto [1] beschreibt das Einrichten und den Umgang mit dem neuen Firewall-System.

Die Planungen sehen vor, für eine Übergangszeit Netfilter und Nftables parallel im Kernel zu pflegen. Ein Kompatibilitätslayer in nftables soll dafür sorgen, dass sich Netfilter-Erweiterungen weiter verwenden lassen; dank eines Kommandozeilenwerkzeugs mit iptables-Syntax sollen sich bestehende iptables-Regelwerke mit Nftables weiterverwenden lassen. Idealerweise, schreibt Netfilter-Entwickler Pablo Neira Ayuso [2], der für den aktuellen Nftables-Code verantwortlich ist, merken Admins gar nicht, ob die Firewall-Funktionen von Netfilter oder Nftables bereitgestellt werden. (odi [3])

URL dieses Artikels:
https://www.heise.de/-1982608

Links in diesem Artikel:
[1] https://home.regit.org/netfilter-en/nftables-quick-howto/
[2] http://article.gmane.org/gmane.comp.security.firewalls.netfilter.devel/44685
[3] mailto:odi@ix.de

Copyright © 2013 Heise Medien