Menü

Neuer Firewall-Code für den Linux-Kernel

Von
vorlesen Drucken Kommentare lesen 71 Beiträge

Kernel-Entwickler David Miller, zuständig für den Netzwerk-Code im Linux-Kernel, hat den neuen Firewall-Code Nftables in seinen Kernel-Zweig aufgenommen. Nftables könnte damit bereits als Option im übernächsten Linux-Kernel 3.13 enthalten sein, der um die Jahreswende veröffentlicht werden dürfte.

Derzeit liefert der Netfilter-Code die Firewall-Funktionen im Kernel. Firewall-Regeln, die mit dem Kommandozeilen-Tool iptables erzeugt werden, weisen den Kernel an, ein- und ausgehende IP-Pakete nach Kriterien wie der Quell- und Ziel-IP-Adresse, dem angesprochenen TCP-Port oder Zustandsvariablen wie der Zugehörigkeit zu einer bestehenden Bedingung zu filtern. Netfilter und iptables wurden 2001 mit dem Kernel 2.4 eingeführt.

Ein Problem des Netfilter-Codes ist seine Protokollspezifität: Unterschiedlicher Code stellt die gleiche Funktion für IPv4, IPv6, ARP und Ethernet-Bridging bereit. Nftables ersetzt diesen Code durch eine einheitliche Filter-Engine, die mit allen Protokollen umgehen kann. Zudem bietet Nftables über eine Netlink-Schnittstelle einfachere Mechanismen, den bestehenden Satz an Firewall-Regeln im laufenden Betrieb anpassen und einzelne Regeln zu ersetzen. Ein Nftables-Howto beschreibt das Einrichten und den Umgang mit dem neuen Firewall-System.

Die Planungen sehen vor, für eine Übergangszeit Netfilter und Nftables parallel im Kernel zu pflegen. Ein Kompatibilitätslayer in nftables soll dafür sorgen, dass sich Netfilter-Erweiterungen weiter verwenden lassen; dank eines Kommandozeilenwerkzeugs mit iptables-Syntax sollen sich bestehende iptables-Regelwerke mit Nftables weiterverwenden lassen. Idealerweise, schreibt Netfilter-Entwickler Pablo Neira Ayuso, der für den aktuellen Nftables-Code verantwortlich ist, merken Admins gar nicht, ob die Firewall-Funktionen von Netfilter oder Nftables bereitgestellt werden. (odi)

Anzeige
Anzeige