El 18 de Marzo (un poco menos de 3 meses) Patrick McHardy informo en la lista de desarrollo de NetFilter, el nuevo release de futuro sucesor de IPTables, llamado Nftables, intentando quizas, recordar que IPTables es solo la interfaz de usuario de NetFilter. Lo cierto, es que merece un first approach.
Nftables fue escrito desde cero, y su codigo incluye el código de implementación en el kernel, la libreria libnl y la interfaz de usuario nftables.
Algunas características que me pareció interesante destacar de kernel:
– La primer diferencia que merece ser mencionada, es la posibilidad de asignar mas de un Target a una regla, esto ya de por si, puede reducir en gran parte, la cantidad de lineas de nuestro script de iptables.
– Los contadores, ya no vienen por defecto, pero estan para aplicarlos opcionalmente
– La sintaxis se chequea en espacio de usuario, el kernel solo hace lo que se le ordena (tenga o no sentido)
Con respecto a la intefaz de usuario:
Básicamente la sintaxis se compondrá de Expresiones de descripción de datos en tiempo de ejecución, las cuales son nada mas ni nada menos que las características de los paquetes, Constantes, por ejemplo «10.0.0.0/27», «53», o «192.168.1.1», Expresiones de relación y operadores, es decir los conocidos «equal», «non-equal», etc, Enumeraciones o listas, al estilo «22-1025», o «{ 80, 8080, 443 }» o las listas de flags tcp, y finalmente, las acciones o targets ( log, drop, accept etc.)
En fin, un cambio que supongo será muy bien visto por la comunidad.
Estoy ansioso por probar Nftables, tanto que voy a hacerlo, y cuando tenga noticias les contaré un poco mas….
NetVulcano 