SKY-net

Вниманию общественности представлен первый публичный выпуск проекта nftables,новой реализации пакетного фильтра для Linux, идущего на смену iptables.

Главным отличием nftables является не только изменившийся синтаксис задания правил, но и совершенно новый подход в их трансляции: определенные пользователем правила нынче преобразуются в специальный псевдокод, который используется для принятия решения по дальнейшим действиям с пакетом внутри ядра.

Nftables состоит из трех частей: кода фильтрации, работающего внутри ядра, связующей интерфейсной netlink библиотеки libnl и фронтэнда, работающего на уровне пользователя, при этом проверка корректности правил выполняется вне ядра, а ядро только выполняет фильтрацию.

Новый синтаксис правил, в котором можно задавать условия, создавать переменные, выполнять математические операции, выглядит так:

include "ipv4-filter"

chain filter output {
ct state established,related accept
tcp dport 22 accept
counter drop
}

Код nftables еще находится на стадии альфа тестирования и не подходит для использовании в промышленной эксплуатации, тем не менее в процессе регулярного тестирования последний крах ядра из-за сбоя nftables был зафиксирован несколько месяцев назад.

www.securitylab.ru

Опубликовано 23.03.2009 12:01 и размещено в рубрике IT новости. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• Live Search Images: сервис Microsoft может определять лица
• Microsoft устраняет конкурента с помощью семейного фильтра
• Вышел журнал “Системный администратор” 02/2009
• В Windows 8 встроят проверку файлов SmartScreen
• Межсетевой экран уровня приложений OpenFWTK 2.0