Разработчики Netfilter официально объявили инструментарий iptables устаревшим
Как сообщает opennet.ru на прошедшей в конце прошлой недели в Берлине конференции Netfilter workshop, объединившей разработчиков Linux-подсистемы фильтрации и модификации пакетов Netfilter, было принято решение о переводе семейства программ iptables (включая ip6tables, arptables и ebtables) в разряд устаревших, что отразится в именах соответствующих бинарных файлов:
- /sbin/iptables-legacy
- /sbin/iptables-legacy-save
- /sbin/iptables-legacy-restore
- /sbin/ip6tables-legacy
- /sbin/ip6tables-legacy-save
- /sbin/ip6tables-legacy-restore
- /sbin/arptables-legacy
- /sbin/ebtables-legacy
Место оригинальных исполняемых файлов займут программы, ранее именовавшиеся "compat" (например, iptables-compat): они имеют такой же синтаксис командной строки, однако транслируют полученные правила не в блобы ip_tables, а в байткод nf_tables, выполняемый в виртуальной машине. Таким образом, будет осуществлен прозрачный переход с iptables на nftables, оставляющий возможность использования legacy-инструментов в случае каких-либо проблем. Тем не менее, пользователям настоятельно рекомендуется мигрировать на штатный формат правил nftables. Для этого они могут воспользоваться автоматическими трансляторами, в частности, iptables-translate.
Разработчики Netfilter уже достигли договоренности об отражении соответствующих изменений в дистрибутивах RedHat, Fedora, CentOS, SUSE, Debian и производных от них. Кроме того, поддержка nftables уже реализована в firewalld, что упростит процесс миграции для пользователей этого инструмента.
