Netfilter è stato per anni insieme ad iptables uno dei più importanti componenti del Kernel Linux. Ora, il team di sviluppo di questo popolarissimo progetto Open Source ha deciso di cambiare e di pensare al futuro. Per questo motivo si è iniziato a lavorare già da tempo ad un nuovo sistema di Linux Kernel Firewalling, e in questi giorni è stata rilasciata una versione Alpha del nuovo firewall, ribattezzato nftables.

nftables è stato scritto da zero, basandosi sull’esperienza accumulata negli anni con netfilter/iptables e cercando di migliorare questi componenti. La parola d’ordine è stata quella semplificare la struttura del sistema di firewalling, in modo da appesantire il meno possibile il Kernel Linux. Il lavoro risultante è un insieme di tre componenti: un modulo del kernel nftables, una libreria utente libnl, e un applicativo user space nft per la gestione del firewall.

Il Kernel Linux e il modulo nftables sono stati semplificati al massimo. In particolare la logica di esecuzione lato kernel è minimale in quanto sono state implementate solo delle semplicissime operazioni da applicare agli header e ai contenuti dei pacchetti. Si tratta per lo più di filtri per confrontare il contenuto dei dati con costanti, range di valori, set di valori. Oltre a questo sono state implementate solo le più indispensabili operazioni di manipolazione dei contenuti, introducendo anche il concetto di template di operazione.

Tutta la logica di firewalling viene gestita dall’applicativo user space nft, che utilizzando libnl comunica direttamente col modulo nftables. Il binario nft include al suo interno un parser generato in bison, ed è in grado di interpretare e validare comandi singoli o file di comandi. I comandi vengono acquisiti, interpretati e validati, e solo in ultima istanza decomposti nelle operazioni elementari gestite dal kernel. I file di comandi vengono applicati solo se tutti i comandi sono stati validati.

Il linguaggio user space che viene utilizzato dagli amministratori del firewall è molto simile alle regole di WireShark, il famoso network analyzer Open Source. Esso consente la definizione di funzioni (chains) e di array associativi. Gli amministratori, dunque, potranno creare script personalizzati in base alle loro esigenze.

Al momento nftables è una versione alpha e può essere scaricato solo utilizzando il GIT Hub di netfilter.