 Вниманию общественности представлен первый публичный выпуск проекта nftables,новой реализации пакетного фильтра для Linux, идущего на смену iptables.
Главным отличием nftables является не только изменившийся
синтаксис задания правил, но и совершенно новый подход в их трансляции:
определенные пользователем правила теперь преобразуются в специальный
псевдокод, который используется для принятия решения по дальнейшим
действиям с пакетом внутри ядра.
Nftables состоит из трех частей: кода фильтрации, работающего
внутри ядра, связующей интерфейсной netlink библиотеки libnl и
фронтэнда, работающего на уровне пользователя, при этом проверка
корректности правил выполняется вне ядра, а ядро только выполняет
фильтрацию.
Новый синтаксис правил, в котором можно задавать условия, создавать
переменные, выполнять математические операции, выглядит так:
include "ipv4-filter"
chain filter output {
ct state established,related accept
tcp dport 22 accept
counter drop
}
Код nftables еще находится на стадии альфа тестирования и не
подходит для использовании в промышленной эксплуатации, тем не менее в
процессе регулярного тестирования последний крах ядра из-за сбоя
nftables был зафиксирован несколько месяцев назад.
|
