Neue Firewall für den Linux-Kernel

Die neue Firewall nftables bringt laut eigener Aussage eine fundamentale Unterscheidung zwischen den im User Space definierten Regeln und den Netzwerk-Objekten im Kernel. Die Kernel-Komponente arbeitet mit generischen Daten wie zum Beispiel IP-Adressen, Ports und Protokollen. Diese Daten verarbeitet die Firewall dann weiter und lässt ein Paket zu oder verwirft es.

Die Firewall-Regeln erstellt der Anwender mit dem nft-Tool. Das nft-Programm prüft die Eingabe auf Richtigkeit und übersetzt diese dann in die vom Kernel benötigten Prozesse. Die offizielle Ankündigung verrät, dass nftables eine andere Syntax als iptables erhalten wird. Anwender können Regeln direkt via Komanndozeile eingeben. Ebenso lassen sich Dateien benutzen, wenn Sie in einem für nftables lesbaren Code hinterlegt sind. Noch sind nicht alle Funktionen implementiert. Allerdings sollte diese Alpha-Version gut genug sein, um damit zu experimentieren. Patrick McHardy sagte: „Alle Grundfunktionen und das Meiste vom Rest sollten korrekt arbeiten. Der letzte Kernel-Absturz ist bereit einige Monate her.“. (jdo)