Linux Firewall Next Generation: nftables
Neuer Anlauf
Nach ipfwadm, ipchains und iptables hat nftables als neues Firewall-Framework Einzug in den Linux-Kernel gehalten. Es beherrscht die meisten Funktionen von iptables und bietet zusätzliche Features, die schlankere Regelsätze erlauben.
Seit zweieinhalb Jahren gehört das Firewall-Framework nftables zum Linux-Kernel. Erstmals erschien es mit dem Kernel 3.13 am 19. Januar 2014. Die frühen Ansätze dafür hatte Patrick McHardy auf dem Netfilter-Workshop 2008 präsentiert. Anschließend gab es mehrere Jahre Funkstille um das Projekt, die Entwickler arbeiteten hinter den Kulissen jedoch weiter am Code. Im Oktober 2012 kündigte Pablo Neira Ayuso eine Kompatibilitätsschicht für iptables an. Dazu hat er im Oktober 2013 einen Pull-Request für das Kernel-Repository ausgelöst, der zur Aufnahme des Frameworks in den Kernel führte.
Wesentlicher Auslöser für die Entwicklung von nftables ist in der aufwendigen Wartung vier verschiedener Firewall-Werkzeuge (iptables, ip6tables, arptables und ebtables) sowie der damit einhergehenden Code-Duplikation zu suchen. So war der ip6tables-Befehl über viele Jahre dem iptables-Kommando nicht ebenbürtig. Er beherrschte beispielsweise kein Connection Tracking, das zu Beginn nur für IPv4 im Kernel vorlag. Inzwischen ist es bei iptables protokollunabhängig implementiert.