Firewalling di Linux diperbarui.

Ya, Anda membacanya dengan benar. Alat firewall yang telah dibenci atau dicintai, sejak Kernel 2.4 sedang dihapus dari kernel v4.9 dan seterusnya demi nftables.

Iptables masih akan tersedia di masa mendatang, namun sekarang saatnya untuk mempelajari sintaks baru nftables. Nftables, yang merupakan singkatan dari netfilter  tabel. Nftables adalah bagian dari netfilter suite, yang merupakan tim kontributor kernel yang secara khusus ditugaskan untuk melakukan “NAT, Firewall, dan packet mangling untuk Linux”. Tim netfilter adalah penulis yang sama yang membawakan kami iptables, jadi mereka bisa dibilang ditempatkan paling baik untuk menggantikan iptables, sama seperti ipchains dan ipfw sebelumnya.

Fungsi baru

Nftables menawarkan fungsionalitas baru yang tidak tersedia di iptables, dan telah tersedia (meskipun tidak sepenuhnya stabil) sejak Kernel 3.13. Di atas modul kernel itu sendiri, tiga komponen lainnya terdiri dari nftables. Ini adalah:

• libmnl:perpustakaan Netlink minimalis
• libnftnl:perpustakaan ruang pengguna netlink tingkat rendah
• nft:alat baris perintah.

Perangkat baru ini menawarkan keunggulan berikut dibandingkan iptables:

• Kinerja tinggi melalui peta dan rangkaian:Inspeksi aturan linier tidak ditingkatkan. Dengan menggunakan peta dan rangkaian, Anda dapat menyusun kumpulan aturan untuk mengurangi jumlah pemeriksaan aturan guna menemukan tindakan akhir pada paket seminimal mungkin.
• Sintaks terpadu dan konsisten untuk setiap keluarga protokol dukungan, bertentangan dengan utilitas xtables, yang terkenal penuh dengan inkonsistensi.
• Mesin Virtual khusus jaringan :nft alat baris perintah mengkompilasi kumpulan aturan ke dalam bytecode VM dalam format netlink, kemudian mendorong ini ke dalam kernel melalui nftables Netlink API. Saat mengambil aturan, bytecode VM dalam format netlink didekompilasi kembali ke representasi aturan aslinya. Jadi nft berperilaku baik sebagai compiler dan decompiler.
• Tidak perlu pembaruan kernel &basis kode kernel yang lebih kecil :Kecerdasan ditempatkan di ruang pengguna nft alat baris perintah, yang jauh lebih kompleks daripada iptables dalam hal basis kode, namun, di tengah jalan, ini berpotensi memungkinkan kami untuk memberikan fitur baru dengan memutakhirkan alat baris perintah userspace, tanpa memerlukan peningkatan kernel.

Dapatkah saya mengubah aturan iptables saya menjadi nft dengan mudah?

Cukup mudah. Ada alat konversi yang berfungsi sebagai berikut:
% iptables-translate -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
nft add rule ip filter INPUT tcp dport 22 ct state new counter accept

% ip6tables-translate -A FORWARD -i eth0 -o eth3 -p udp -m multiport --dports 111,222 -j ACCEPT
nft add rule ip6 filter FORWARD iifname eth0 oifname eth3 meta l4proto udp udp dport {111,222} counter accept


• Untuk informasi selengkapnya tentang berpindah dari iptables ke nftables, lihat halaman wiki yang bermanfaat ini oleh tim netfilter.

Kapan itu akan datang ke distribusi Linux saya?

Mulai dengan Debian 9 stabil, kerangka kerja nftables telah diinstal, siap digunakan. Ini tersedia melalui instalasi paket dalam pengembangan Debian (Stretch) sekarang, cukup ketik aptitude install nftables.

Rilis ke Debian stable hampir pasti akan mengalirkan rilis ke hilir ke semua distribusi besar berbasis Debian lainnya seperti Ubuntu dalam waktu dekat. Pengguna CentOS 7/RHEL 7 dapat menginstal nftables dari repo EPEL Red Hat resmi menggunakan yum hari ini. Pada saat penulisan, CentOS mengirimkan versi 0.6 dan Debian 0.7. Ubuntu 16.04 LTS memang memiliki versi yang lebih lama (0.5), namun saya sarankan untuk menunggu versi yang lebih baru.

Informasi lebih lanjut

Untuk mendapatkan informasi lebih lanjut, kunjungi situs web netfilter, mereka memiliki beberapa dokumentasi yang sangat bagus:

• cara nftables:http://wiki.nftables.org
• beranda nftables
• Pembaruan Debian dan nftables (Mei 2017)