24 marzo 2009

El futuro firewall de Linux.

Como ya ocurrió con los antiguos ipfwadm e ipchains, ahora le toca a iptables. El actual firewall de Linux tiene los días contados. El grupo encargado de Netfilter ha publicado una versión preliminar del sucesor: nftables.

Este nuevo cortafuegos se ha desarrollado desde cero, sufre numerosos e importantes cambios. Como principal mejoría la posibilidad de añadir en una sola entrada varias acciones para un a misma regla.

nftables está compuesto por tres componentes: la implementación del kernel, la librería de comunicación (libnl) y el frontend para usuario.

La sintaxis de configuración cambia por completo, eliminando complejidad y siendo más flexible.

Algunos ejemplos de esta nueva sintaxis:

# nft add rule output tcp dport 22 log accept

# nft add rule inet filter output tcp dport 22 log accept


4 comments :

José Luis dijo...

Pues me parece perfecto, una buena noticia. Iptables ya empezaba a quedarse pequeño para tanta extensión y además la sintaxis siempre ha sido muy engorrosa, a diferencia de otros sistemas como el PacketFilter de OpenBSD.

Los dos ejemplos de reglas que has incluido en la noticia tienen muy buena pinta :) A ver si se mantiene como norma esa sencillez.

futurente dijo...

Sera parecido a PF de BSD?, iptables efectivamente es el mas engorroso.

Anónimo dijo...

Siempre que sea para mejorar es bienvenido.

Honestamente no soy una persona bsd y esa sintaxis me hace recordar a lo poco que vi de pf.

Habra que actualizarse, eso es bueno.

Saludos

Anónimo dijo...

Excelente, parecido a packet filter de BSD, con la unica diferencia es que este funciona sobre el kernel GNU/Linux... :) que mejora