Nftables
nftables是Linux内核的一个子系统,提供网络数据包、报文、以太网帧的过滤和分类。该系统从2014年1月19日Linux内核版本3.13发布之后可用。 [2] nftables取代了Netfilter的旧版用户空间工具iptables。nftables相对于iptables的优点是代码重复度少并且更容易扩展到新协议。nftables通过用户空间实用程序nft进行配置,代替之前的传统工具即iptables、 ip6tables、arptables和ebtables。[3] nftables 利用Netfilter基础设施的构建块,例如网络堆栈中的现有挂钩、连接跟踪系统、用户空间排队组件和日志记录子系统。 nft命令行语法用于丢弃所有目标IP地址为1.2.3.4的数据包的一条命令: nft add rule ip filter output ip daddr 1.2.3.4 drop
请注意,新语法与iptables的语法存在显著差异,在iptables中相同规则的写法如下: iptables -A OUTPUT -d 1.2.3.4 -j DROP
新语法看似更冗长,但灵活性却大幅提升。nftables整合了字典、映射表和连接表等高级数据结构,这些在iptables中并不存在。利用这些特性,可显著减少实现特定数据包过滤设计所需的链表和规则数量。
历史该项目首次由Netfilter核心团队的Patrick McHardy在2008年Netfilter研讨会上公开展示。[7] 内核和用户空间实现的首个预览版于2009年3月发布。[8] 尽管该工具被誉为“自2001年iptables问世以来Linux防火墙领域最重大的变革”,却很少有媒体获得关注。[9] 知名黑客戈登·里昂表示,他“正期待该功能在主流Linux内核中的正式发布”。[9] 该项目始终处于alpha阶段,其官方网站于2009年被撤下。2010年3月,项目邮件列表中作者的邮件显示该项目仍在持续开发中,即将迎来beta版本的发布;[10][11] 但后者从未正式发布。2012年10月,Pablo Neira Ayuso为iptables提出了一层兼容性接口,[12]并宣布该项目可能被纳入主流内核。 2013年10月16日,Pablo Neira Ayuso向Linux内核主线提交了nftables核心功能的pull请求。[13] 该功能于2014年1月19日随Linux内核3.13版本的发布合并至内核主线。[2] 概览nftables内核引擎为Linux内核添加了一个简单的虚拟机,能够执行字节码来检查网络数据包并决定如何处理该数据包。该虚拟机实现的操作被刻意设计得基础化,它能够从数据包本身获取数据,查看关联的元数据(例如入站接口),并管理连接跟踪数据。基于这些数据,可使用算术运算符、位运算符和比较运算符进行决策。该虚拟机还支持操作数据集合(通常为IP地址),从而能用单次集合查询替代多次比较操作。[14] 上述组织方式与iptables防火墙代码相悖,后者将协议识别功能深度嵌入逻辑层,导致代码不得不为IPv4、IPv6、ARP及以太网桥接四种场景分别复写——因防火墙引擎过于依赖特定协议,无法实现通用化应用。[14] nftables相较于iptables的主要优势在于:简化Linux内核应用程序二进制接口(ABI)、减少代码重复、改进错误报告机制,以及实现更高效的过滤规则执行、存储与增量变更。传统使用的、、和(分别用于IPv4、IPv6、ARP和以太网桥接)将被nft取代,作为统一实现方案,在内核虚拟机之上提供防火墙配置功能。 nftables还提供了一个改进的用户空间API,允许在单次Netlink事务中原子性地替换一条或多条防火墙规则。这能加速大型规则集环境中的防火墙配置变更,同时有助于避免规则变更执行过程中的竞争条件。nftables还包含兼容性功能以简化从旧版防火墙的迁移,提供可转换iptables格式规则的命令行工具, [15]以及使用nftables后端的语法兼容iptables命令版本。[16] 参考文献
外部链接
|
||||||||||||||||||||
