.:: Securnetwork.net Blog – Massimo Rabbi ::.

Patrick McHardy del team di sviluppo Netfilter ha rilasciato una versione alpha di nftables, la nuova implementazione del firewall per il kernel Linux, assieme ad un tool user space per utilizzarlo.
nftables introduce una distinzione fondamentale tra le regole definite in user space e gli oggetti di rete nel kernel: il componente kernel funziona con dati generici come indirizzi IP, porte e protocolli e fornisce delle operazioni generiche per confronto delle informazioni di pacchetto con costanti o per scartare pacchetti.

Le regole del firewall, vengono definite attraverso il tool nft: a seguito di un controllo sono convertite in operazioni e oggetti kernel.
Da un’occhiata agli esempi nella pagina di annuncio, sembra proprio che nftables abbia una sintassi differenta da iptables.
Le regole possono essere aggiunte in maniera incrementale da command line oppure venir lette da un file appositamente scritto.

Il codice di nftables è attualmente in status alpha: contiene quindi bugs e non tutte le features sono state implementate.
E’ quindi assolutamente sconsigliato un suo utilizzo in ambiente di produzione, anche se gli sviluppatori hanno confermato che è sufficientemente robusto per poter cominciare a fare i primi esperimenti in ambienti di test.
Stando a McHardy infatti: “…tutte le funzionalità base e gran parte del resto, dovrebbero funzionare correttamente. L’ultimo crash serio al kernel si è infatti verificato mesi fa.”.

RIFERIMENTI:
- New firewall for the Linux kernel, by Heise Security