Pular para o conteúdo principal

NFtables – O Sucessor do IPtables (no próximo kernel)



         Atualmente em desenvolvimento (inicio em março de 2009), nftables é o projeto (do netfilter) que visa substituir o iptables, ip6tables, arptables e ebtables.

Será a 4ª geração de filtro de pacote no kernel linux.

Ele usa uma nova syntax, diferente da usada pelo iptables e dos demais “tables”, porém fornece uma camada de compatibilidade que permite que seja executado syntax na estrutura do iptables, por exemplo. Um utilitário em linha de comando que consegue adicionar ao nftables regras escritas através da “linguagem” do iptables.

Esse projeto prevê uma nova estrutura de filtragem de pacotes (trazendo melhorias e otimizações junto ao kernel), um novo utilitário para usuário e também uma camada de compatibilidade para o iptables e ip6tables.

Principais Características:


  • O usuário cria as regras e as armazena (no lado user) através do utilitário nftables, após elas são compiladas num pseudo-estado e transferidas (Através da API nftables do Netlink,) para o lado do kernel. A grosso modo, a idéia por trás nftables é semelhante ao do Berkeley Packet Filter ( BPF )..
  • Pesquisas rápidas através de estruturas de dados de desempenho : a nova sintaxe permite que você organize conjuntos de regras de uma maneira que prove muito mais desempenho ao contrário das políticas de filtragem listadas linearmente (caso do iptables). Permite que você use mapeamentos de ação baseada em conjunto, ou seja, para um elemento correspondente no conjunto, emitir a ação especificada pelo usuário.
  • Reduzir a quantidade de código no kernel. Pode expressar o seletor de pacotes para todos os protocolos existentes, utilizando o conjunto de instruções fornecido pelo nftables gravados no pseudo-estado da maquina (kernel, bytecode). Isso significa que não precisa especificar uma extensão no lado do kernel para cada protocolo que deseja, por exemplo. Como efeito colateral, provavelmente não será preciso atualizar seu kernel para obter novos recursos, uma vez que foi concebido para manter a maior parte da lógica no espaço do usuário, não do kernel (quam transfere para o kernel é a API nftables, previamente compilada no lado do usuário).
  • Interface unificada para substituir utilitários iptables/ip6tables/arptables/ebtables . Assim, será capaz de se livrar completamente de toda a replicação de código existente no lado do kernel e no lado do usuário.

Existe um howto (inglês) mostrando como instalar o nftables, criação de regras básicas, NAT, mapeamento: neste link

Estou traduzindo o guia acima e testando num ambiente virtualizado para testes e postar maiores detalhes...

Já está nos planos para ser inserido no kernel de algumas distribuições.

Ao que está sendo divulgado, no kernel oficial (do kernel.org), o nftables estará inserido no kernel 3.13 (estamos no 3.12-rc7)

Alguns links – referência:
http://git.kernel.org/cgit/linux/kernel/git/pablo/nftables.git
http://git.netfilter.org/nftables/
http://git.netfilter.org/iptables-nftables/

Fonte: netfilter.org

Comentários

Postagens mais visitadas deste blog

Distribuições Linux para 2020

Olá, Fiz um compilado das melhores distros para 2020, ou melhor, da aposta para as melhores distribuições e destaques para 2020. Além disto, algumas listas das melhores distros para o próximo ano feita pelos maiores sites e a melhor distribuição Linux para cada categoria de usuário. Além disto, respondo a pergunta que todos fazem: Qual o Linux mais leve? e Qual o Linux mais bonito? Ubuntu e suas variantes A primeira aposta e mais obvia é o Ubuntu.  Tanto pelo tamanho da comunidade quanto por ser a primeira distro a ser usada quando alguma empresa resolve desenvolver/portar seus aplicativos para linux, além de ser a distro mais indicada para quem está iniciando com o S.O. Soma-se isto ao suporte da Steam, facilitadores como o Lutris e pacotes de apps oficiais distribuídos por devs como Nvidia, Intel dentre outras... Um dos maiores responsáveis é a API Vulkan da AMD e o Proton da Valve/Steam! Que promete fazer muitos gamers mudarem por completo para o Linux e o ubuntu pr

TuxMath - Tux, do Comando da Matemática. Ensino e diversão a crianças.

Tux Of Math Command, (Tux, do Comando da Matemática, em sátira ao desenho animado, Buzz Lightyear, do Comando Estelar) ou simplesmente TuxMath é um game open source, no estilo arcade, originalmente desenvolvido para linux, mas atualmente é multiplataforma, disponível em Windows, Mac, BeOS, web, dispositivos móveis...

SSD no linux

Mitos e verdades do SSD no Linux - Instalando, configurando e otimizando SSD no Linux SSD são suportados no Linux desde o kernel 2.6.29. Schedulers e File Systems também suportam os 'discos sólidos' ou 'não-rotacionais' (SSDs) há um bom tempo. A maioria dos artigos que existem na internet são bem antigos e não refletem os ambientes atuais dos sistemas Linux. Este artigo trás alguns macetes para otimizar o SSD num ambiente onde o sistema operacional estará instalado nele. Tiro alguns mitos de que seria necessário mudanças bruscas no sistema para que o SSD seja bem aproveitado (hoje, basicamente no uso do dia-a-dia, nada é preciso após instala-lo) apenas alguns pontos a serem observados.