Netfilter è stato per anni insieme ad iptables uno dei più importanti componenti del Kernel Linux. Ora, il team di sviluppo di questo popolarissimo progetto Open Source ha deciso di cambiare e di pensare al futuro. Per questo motivo si è iniziato a lavorare già da tempo ad un nuovo sistema di Linux Kernel Firewalling, e in questi giorni è stata rilasciata una versione Alpha del nuovo firewall, ribattezzato nftables.
nftables è stato scritto da zero, basandosi sull´esperienza accumulata negli anni con netfilter/iptables e cercando di migliorare questi componenti. La parola d´ordine è stata quella semplificare la struttura del sistema di firewalling, in modo da appesantire il meno possibile il Kernel Linux. Il lavoro risultante è un insieme di tre componenti: un modulo del kernel nftables, una libreria utente libnl, e un applicativo user space nft per la gestione del firewall.
Il Kernel Linux e il modulo nftables sono stati semplificati al massimo. In particolare la logica di esecuzione lato kernel è minimale in quanto sono state implementate solo delle semplicissime operazioni da applicare agli header e ai contenuti dei pacchetti. Si tratta per lo più di filtri per confrontare il contenuto dei dati con costanti, range di valori, set di valori. Oltre a questo sono state implementate solo le più indispensabili operazioni di manipolazione dei contenuti, introducendo anche il concetto di template di operazione.
Tutta la logica di firewalling viene gestita dall´applicativo user space nft, che utilizzando libnl comunica direttamente col modulo nftables. Il binario nft include al suo interno un parser generato in bison, ed è in grado di interpretare e validare comandi singoli o file di comandi. I comandi vengono acquisiti, interpretati e validati, e solo in ultima istanza decomposti nelle operazioni elementari gestite dal kernel. I file di comandi vengono applicati solo se tutti i comandi sono stati validati.
Il linguaggio user space che viene utilizzato dagli amministratori del firewall è molto simile alle regole di WireShark, il famoso network analyzer Open Source. Esso consente la definizione di funzioni (chains) e di array associativi. Gli amministratori, dunque, potranno creare script personalizzati in base alle loro esigenze.
Al momento nftables è una versione alpha e può essere scaricato solo utilizzando il GIT Hub di netfilter.