Arch Linux переходить на nft як новий стандарт для iptables
Arch Linux переходить на nft як новий стандарт для iptables
Arch Linux оголосив, що iptables тепер за замовчуванням використовує бекенд nft. Це відображає ширшу трансформацію в стеку мереж Linux від фреймворку xtables до nftables. З цими змінами назва пакету iptables-nft замінена на iptables, тоді як класичний бекенд залишається доступним як iptables-legacy.
Міграція між iptables та iptables-legacy
Користувачі, які переходять між iptables-nft, iptables та iptables-legacy, повинні перевірити наявність файлів .pacsave у /etc/iptables/ та при необхідності відновити збережені правила. Arch зазначає, що більшість конфігурацій повинні продовжувати функціонувати як раніше, але системи, які використовують незвичайні розширення xtables або специфічні функції класичного бекенду, слід ретельно протестувати.
Переходь на новий фреймворк з iptables
iptables вже давно є стандартним інструментом Linux для налаштування правил брандмауера, переведення мережевих адрес та фільтрації пакетів. Це частина старого фреймворку Netfilter, заснованого на xtables, разом з пов’язаними інструментами, такими як ip6tables.
Що таке nftables?
На відміну від нього, nftables є новим фреймворком для фільтрації пакетів, який має на меті замінити класичний стек xtables як сучасний спадкоємець iptables. Він вирішує архітектурні обмеження старої системи, особливо в умовах подвійного стеку IPv4 і IPv6.
Зміни в пакетах для Arch Linux
Надалі стандартний пакет iptables в Arch вказує на реалізацію з підтримкою nft. iptables-legacy залишається доступним для ситуацій, коли потрібно використовувати класичний бекенд.
Для більшості користувачів Arch очікується, що стандартні налаштування брандмауера продовжать працювати без змін. Основним аспектом є збереження конфігурацій під час перемикання пакетів, зокрема щодо /etc/iptables/iptables.rules.pacsave та /etc/iptables/ip6tables.rules.pacsave.
Тестування систем з унікальними розширеннями
Системи, які залежать від незвичних розширень xtables або поведінки, специфічної для бекенду, можуть вимагати додаткового тестування. У таких випадках Arch рекомендує повернутися до iptables-legacy, якщо це необхідно.
Для отримання більш детальної інформації, ознайомтеся з оголошенням.
