Aggregatore GNU/Linux e dintorni

GNU/Linux for everyone and forever

Novità Arch Linux: nftables diventa il backend predefinito per iptables

di ·

Novità Arch Linux: nftables diventa il backend predefinito per iptables

Gli sviluppatori della distribuzione Arch Linux hanno annunciato un cambiamento importante nella gestione delle regole del firewall, il componente che controlla quali connessioni di rete possono entrare o uscire dal sistema per garantire sicurezza, protezione e controllo del traffico. Con questa modifica, iptables utilizza ora nftables come backend predefinito, sostituendo il precedente pacchetto software iptables-nft.

Questa scelta rappresenta un passo significativo nella modernizzazione dello stack di rete di GNU/Linux, cioè l’insieme dei livelli software che gestiscono la comunicazione di rete, dalla gestione dei pacchetti di rete (d’ora in poi definiti solo pacchetti) ai protocolli più complessi. Lo stack di rete comprende componenti come Netfilter, i protocolli IP, i driver di rete e gli strumenti di configurazione. L’intero ecosistema sta progressivamente abbandonando il vecchio framework xtables per adottare nftables, una soluzione più moderna, più efficiente e più coerente nella gestione del filtraggio dei pacchetti.

Perché iptables sta cambiando backend

iptables è uno strumento storico utilizzato per configurare il firewall, gestire la traduzione degli indirizzi di rete (NAT, Network Address Translation) e filtrare i pacchetti nei sistemi GNU/Linux. Questo strumento si basa sul framework Netfilter, il componente del kernel Linux responsabile del controllo del traffico di rete in ingresso, in uscita e in transito. Netfilter fornisce l’infrastruttura interna che permette di applicare regole di filtraggio, NAT e manipolazione dei pacchetti, mentre strumenti come iptables rappresentano l’interfaccia attraverso cui l’utente definisce tali regole.

Per molti anni Netfilter ha utilizzato il framework xtables, un sistema che organizza le regole del firewall tramite tabelle e catene. Le tabelle sono insiemi logici di regole, mentre le catene sono sequenze ordinate di controlli che ogni pacchetto deve attraversare. Ogni catena rappresenta un punto specifico del percorso del pacchetto, ad esempio quando entra nel sistema, quando viene inoltrato o quando esce. In pratica, una catena è una lista di regole valutate una dopo l’altra fino a determinare cosa fare del pacchetto.

xtables è stato progettato in un periodo in cui IPv4 era predominante e, per questo motivo, ha introdotto strumenti separati per protocolli diversi. Da qui deriva l’esistenza di comandi distinti come ip6tables, dedicato esclusivamente alla gestione del traffico IPv6. Questa separazione comporta una duplicazione delle configurazioni e una maggiore complessità nella gestione di ambienti moderni in cui IPv4 e IPv6 convivono.

Con l’evoluzione delle esigenze di rete, le limitazioni architetturali di xtables sono diventate sempre più evidenti. La necessità di mantenere regole parallele per protocolli diversi, la sintassi meno coerente e un modello non ottimizzato per le infrastrutture attuali hanno reso necessario un approccio più moderno e unificato.

nftables: il nuovo standard per il filtraggio dei pacchetti

nftables è stato sviluppato per superare i limiti di xtables e rappresenta oggi il framework di nuova generazione per il filtraggio dei pacchetti. Offre una sintassi più coerente e leggibile, una gestione unificata di IPv4 e IPv6 e un motore più efficiente. Questo consente di creare regole più chiare, più semplici da mantenere e più adatte a sistemi complessi o ad ambienti che richiedono configurazioni avanzate.

Grazie al suo approccio moderno e modulare, nftables è oggi considerato la soluzione ideale per chi necessita di un controllo preciso, affidabile e aggiornato del traffico di rete.

Novità in iptables con backend nftables

Con questa transizione, il pacchetto software iptables utilizza ora nftables come backend predefinito, sostituendo il vecchio nome iptables-nft. Per garantire continuità e compatibilità, il backend storico rimane disponibile tramite il pacchetto software iptables-legacy, pensato per scenari in cui sono ancora necessarie funzionalità specifiche del vecchio sistema basato su xtables.

Dettagli tecnici e compatibilità

  • Migrazione tra pacchetti: Gli utenti che passano da iptables-nft, iptables o iptables-legacy dovrebbero verificare la presenza di file .pacsave nella cartella /etc/iptables/ e ripristinare eventuali regole salvate. Questi file vengono generati automaticamente durante aggiornamenti o sostituzioni dei pacchetti software e possono contenere configurazioni importanti.
  • Compatibilità: La maggior parte delle configurazioni esistenti dovrebbe continuare a funzionare senza problemi. Tuttavia, sistemi che utilizzano estensioni xtables non comuni o funzionalità specifiche del backend legacy potrebbero richiedere test aggiuntivi per assicurarsi che tutte le regole vengano interpretate correttamente dal nuovo backend.
  • File di configurazione: Particolare attenzione va prestata ai file /etc/iptables/iptables.rules.pacsave e /etc/iptables/ip6tables.rules.pacsave, che potrebbero contenere regole da ripristinare manualmente per garantire il corretto funzionamento del firewall dopo la migrazione.

Riferimenti e download

Il pacchetto software iptables è già disponibile nei repository software di Arch Linux e può essere installato o aggiornato tramite il gestore dei pacchetti software pacman direttamente da Terminale:

sudo pacman -S iptables

Per chi necessita del backend legacy, ovvero delle regole del vecchio sistema, è possibile installare il pacchetto software iptables-legacy sempre nella stessa modalità:

sudo pacman -S iptables-legacy

Per ulteriori dettagli tecnici e istruzioni specifiche, è possibile consultare l’annuncio ufficiale sul sito di Arch Linux e la documentazione dedicata nella Wiki di Arch Linux.

Fonte: https://archlinux.org/news/iptables-now-defaults-to-the-nft-backend/
Fonte: https://linuxiac.com/arch-linux-makes-nft-the-default-backend-for-iptables/

Visited 16 times, 16 visit(s) today
Se vuoi sostenermi, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che ho nel mio sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul mio negozio online, quelle mancanti possono essere comunque richieste.

Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Tag:

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.