Ya disponible la nueva versiĆ³n de nftables 0.9.3

David Y. Naranjo

4 minutos

NFTables

Hace algunos dĆ­as fue liberada la nueva versiĆ³n del filtro de paquetes nftables 0.9.3, que se desarrolla como reemplazo de iptables, ip6table, arptables y ebtables debido a la unificaciĆ³n de las interfaces de filtrado de paquetes para IPv4, IPv6, ARP y puentes de red.

El paquete nftables usa partes estructurales de la infraestructura Netfilter, como el connection tracking system (sistema de seguimiento de conexiones) o el subsistema de registro. TambiĆ©n hay prevista una capa de compatibilidad para la traducciĆ³n de las ya existentes reglas del cortafuegos iptables a sus equivalentes en nftables.

Sobre Nftables

Nftables incluye componentes de filtro de paquetes que funcionan en el espacio del usuario, mientras que a nivel del kernel, el subsistema nf_tables proporciona una parte del kernel de Linux desde la versiĆ³n 3.13.

A nivel del nĆŗcleo, solo se proporciona una interfaz comĆŗn que es independiente de un protocolo especĆ­fico y proporciona funciones bĆ”sicas para extraer datos de paquetes, realizar operaciones de datos y controlar el flujo.

La lĆ³gica de filtrado en sĆ­ y los procesadores especĆ­ficos del protocolo se compilan en un bytecode en el espacio del usuario, despuĆ©s de lo cual este bytecode se carga en el kernel usando la interfaz Netlink y se ejecuta en una mĆ”quina virtual especial que se parece a BPF (Berkeley Packet Filters).

Este enfoque le permite reducir significativamente el tamaƱo del cĆ³digo de filtrado que se ejecuta a nivel del nĆŗcleo y eliminar todas las funciones de las reglas de anĆ”lisis y la lĆ³gica de trabajar con protocolos en el espacio del usuario.

Las principales ventajas de nftables son:

  • Arquitectura que estĆ” integrada en el nĆŗcleo
  • Una sintaxis que consolida las herramientas de IPtables en una Ćŗnica herramienta de lĆ­nea de comandos
  • Una capa de compatibilidad que permite el uso de la sintaxis de reglas de IPtables.
  • Una nueva sintaxis fĆ”cil de aprender.
  • Proceso simplificado de agregar reglas de firewall.
  • Informe de errores mejorado.
  • ReducciĆ³n en la replicaciĆ³n de cĆ³digo.
  • Mejor rendimiento general, retenciĆ³n y cambios graduales en el filtrado de reglas.

ĀæQuĆ© hay de nuevo en nftables 0.9.3?

En esta nueva versiĆ³n de nftables 0.9.3 se aƱadiĆ³ el soporte para paquetes coincidentes a lo largo del tiempo. Con ello se puede definir los intervalos de tiempo y fecha en los que se activarĆ” la regla y configurar la activaciĆ³n en dĆ­as individuales de la semana. TambiĆ©n se agregĆ³ una nueva opciĆ³n Ā«-TĀ» para mostrar el tiempo de la Ć©poca en segundos.

Otro de los cambios que se destacan es el soporte para restaurar y guardar etiquetas SELinux (secmark), sƭ como tambiƩn el soporte para listas de mapas synproxy, lo que le permite definir mƔs de una regla por backend.

De los demĆ”s cambios que se destacan de esta nueva versiĆ³n:

  • Posibilidad de eliminar dinĆ”micamente elementos set-set de las reglas de procesamiento de paquetes.
  • Soporte para mapeo de VLAN por identificador y protocolo definido en los metadatos de la interfaz del puente de red
  • OpciĆ³n Ā«-tĀ» (Ā«ā€“terseĀ») para excluir elementos set-set al mostrar reglas. Al ejecutar Ā«nft -t list rulesetĀ», se mostrarĆ”:
  • Conjunto de reglas nft list.
  • La capacidad de especificar mĆ”s de un dispositivo en cadenas netdev (funciona solo con el kernel 5.5) para combinar reglas de filtrado comunes.
  • Posibilidad de agregar descripciones de tipos de datos.
  • Capacidad para construir una interfaz CLI con la biblioteca linenoise en lugar de libreadline.

ĀæCĆ³mo instalar la nueva versiĆ³n de nftables 0.9.3?

Para obtener la nueva versiĆ³n de momento solo se puede compilar el cĆ³digo fuente en su sistema. Aunque en cuestiĆ³n de dĆ­as estarĆ”n disponibles los paquetes binarios ya compilados dentro de las diferentes distribuciones de Linux.

AdemĆ”s de que los cambios necesarios para que funcione la versiĆ³n nftables 0.9.3 estĆ”n incluidos en la futura rama del kernel de Linux 5.5. Por lo que para realizar la compilaciĆ³n debes contar con las siguientes dependencias instaladas:

Estas las puedes compilar con:

./autogen.sh
./configure
make
make install

Y para nftables 0.9.3 este lo descargamos desde el siguiente enlace. Y la compilaciĆ³n se realiza con los siguientes comandos:

cd nftables
./autogen.sh
./configure
make
make install