Nftables
From Wikipedia, the free encyclopedia
| nftables | |||||
|---|---|---|---|---|---|
| Parte de Netfilter/iptables | |||||
| Información general | |||||
| Tipo de programa | Cortafuegos | ||||
| Autor | Proyecto Netfilter | ||||
| Desarrollador | Proyecto Netfilter | ||||
| Lanzamiento inicial | 18 de marzo de 2009 (16 años, 10 meses y 20 días) | ||||
| Licencia | GPL (versión 2) | ||||
| Estado actual | En desarrollo | ||||
| Información técnica | |||||
| Programado en | C | ||||
| Plataformas admitidas | Netfilter | ||||
| Versiones | |||||
| Última versión estable | 1.1.2 (info) (14 de abril de 2025 (9 meses y 23 días)) | ||||
| Serie Netfilter/iptables | |||||
| |||||
| Enlaces | |||||
nftables es un proyecto que proporciona filtrado de paquetes y clasificación de paquetes en Linux, que reemplaza los frameworks existentes iptables, ip6tables, arptables y ebtables. Nftables es una combinación de componentes en núcleo de Linux (módulos) y una utilidad de línea de comandos en espacio de usuario.[1]
Reutiliza partes clásicas de la infraestructura Netfilter, como el connection tracking system (conntrack, sistema de seguimiento de conexiones), el subsistema de envío de paquetes a espacio de usuario (nf_queue) y el subsistema de registro (nf_log), entre otros. También existe una capa de traducción y compatibilidad para facilitar el trabajo sobre reglas ya existentes de iptables.
En mayo de 2017, el proyecto Debian anunció que incluiría oficialmente a nftables en su sistema operativo y recomienda a los usuarios migrar desde iptables a nftables.[2] A su vez, en octubre de 2019, se anunció que nftables sería la herramienta por defecto a partir de Debian 11 Bullseye.[3]
El framework de iptables sufre una serie de limitaciones que se han querido mejorar en nftables:
- Evitar duplicidad e inconsistencia en el código fuente. Muchas extensiones de iptables estaban duplicadas con pequeños cambios para interactuar con diferentes protocolos de red.
- Mejorar soporte para conjuntos y mapeo de datos.
- Simplificar usabilidad en entornos IPv4/IPv6.
- Mejorar mecanismo para actualizaciones al conjunto de reglas. Esta tarea en iptables es muy costosa y poco escalable.
- Proveer API Netlink para aplicaciones externas.
- Mejorar sintaxis.
