Das Nftables-Framework wurde von Linus Torvalds in den Linux-Kernel aufgenommen, das langfristig den Netfilter-Code ersetzen soll, mit dem Linux-Firewalls bislang Pakete filtern. Vorteil des neuen Ansatzes ist die Prüfung und Verarbeitung der Netzwerkpakete, welche mit Byte-Code in einer "virtuellen Maschine", wie es Netzwerk-Subsystem-Betreuer David Miller umschreibt, erfolgt.

Der Byte-Code lässt sich zur Laufzeit anpassen und sei Protokoll-unabhängig. Filter-Regeln lassen sich dadurch jetzt im Betrieb verändern, ohne das ganze Regelwerk neu aufbauen zu müssen. Die Entwickler des Netfilter-Codes von Linux erläutern weitere Vorteile und Hintergründe von Nftables auf ihrer Homepage.

Nftables sollte durch die Aufnahme in den Hauptentwicklerzweig von Linux Bestandteil des Kernels 3.13 werden – vorausgesetzt es treten nicht noch größere Probleme auf, was bei der Kernel-Entwicklung allerdings eher selten passiert. Seit der Veröffentlichung von Linux 3.12 ist Nftables indes nur eine von fast 6500 Änderungen, die Torvalds in den Hauptentwicklungszweig von Linux aufgenommen hat; unter ihnen war auch Unterstützung für Nvidias Tegra 4 oder Intels Xeon Phi.

Für die Anfang Januar erwartete Kernel-Version 3.13 läuft die Phase zur Aufnahme der größten Änderungen noch eineinhalb Wochen, in denen dürften des Weiteren noch die Änderungen an Grafiktreibern und das "Multi-queue Block IO Queueing Mechanism" einziehen, durch den PCIe-SSDs, NVMe-Devices und andere schnelle Datenträger ihre Leistung noch weiter steigern sollen.

(jk, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE