Iptables 1.8: Linux-Firewall-Tool bringt moderne Nftables-Funktionen
Die Paketfilter-Technik nftables ist dabei, das klassische Frontend iptables abzulösen. Der iptables-Befehl passt sich dem nun langsam an.
Die jetzt veröffentlichte Version 1.8 der Linux-Firewall-Tools iptables unterscheidet nun explizit zwischen Funktionen, die auf dem traditionellen iptables-Frontend und der neueren nftables-Technik beruhen. Nftables schickt sich momentan an, die in die Jahre gekommene iptables-Technik abzulösen und ist eines von zwei neuen Firewall-Werkzeugen für Linux – mit bpfilter gibt es noch eine weitere, momentan noch sehr experimentelle Technik, die ebenfalls iptables ablösen könnte.
Viele der iptables-Kommandos nehmen nun als Teil ihrer Flags die Zusätze -legacy-
und -nft-
entgegen; etwa ip6tables-legacy-save
oder ip6tables-nft-save
. Bei der ersten Wahl wird der Befehl auf die klassische iptables-Komponenten angewendet, letztere wählt dafür nftables aus. Mit dem Kommando --version
kann der Anwender zusätzlich herausfinden, ob iptables (legacy) oder nftables (nf_tables) intern beim Kernel zum Einsatz kommt. Die Befehle xtables-monitor
, ebtables
und arptables
, basierend auf dem nftables-Backend, sind neu hinzugekommen. Mit dem neuen Befehl translate
können sich Anwender außerdem klassischen iptables-Syntax in nftables-kompatible Eingaben übersetzen lassen.
Momentan empfehlen die Netfilter-Entwickler den Machern von Linux-Distributionen, die auf der klassischen iptables-Technik basierenden legacy-Befehle als Standard zu verwenden. Die neueren nftables-Funktionen sind demnach noch als experimentell anzusehen. Ein Vorteil der neueren Technik ist etwa, dass sich iptables-Regeln im laufenden Betrieb mit xtables-monitor
debuggen lassen.
Die iptables-Änderungen sind nicht die einzigen grundlegenden Neuerungen, an denen die Linux-Entwickler gerade arbeiten. (fab)