Разработчики Arch Linux объявили о важном изменении в сетевом стеке: теперь стандартный пакет iptables в системе использует в основе реализацию на базе nftables, а старое название пакета iptables-nft больше не применяется отдельно. Этот шаг отражает более широкую эволюцию Linux‑сетевых инструментов от старого фреймворка xtables к более современному и гибкому nftables.
Почему это произошло
Традиционно iptables является стандартным инструментом Linux для настройки межсетевого экрана, управления сетевыми адресами (NAT) и фильтрации пакетов. Он основан на устаревшем фреймворке xtables, который имеет архитектурные ограничения, особенно при работе с двухстековыми конфигурациями IPv4/IPv6.
В отличие от него, nftables — это современный фреймворк, разработанный для замены xtables. Он использует единый интерфейс и обеспечивает более эффективную работу, упрощенную синтаксисическую модель и улучшенную поддержку сложных правил.
Суть изменений
Новый подход заключается в следующем:
- Пакет
iptablesпо умолчанию теперь указывает на реализацию, работающую черезnftables. - Название старого пакета
iptables-nftупразднено — его функциональность объединена с пакетомiptables. - Если вам требуется классическая реализация «legacy», она по‑прежнему доступна через отдельный пакет
iptables-legacy.
Практические последствия для пользователей
Для большинства пользователей изменение пройдет незаметно. Стандартные правила и конфигурации, которые вы использовали раньше, в большинстве случаев будут работать как раньше. Однако есть несколько моментов, о которых стоит знать:
- Если вы обновляете систему и переключаетесь между пакетами
iptables-nft,iptablesиiptables-legacy, рекомендуется проверить наличие файлов `.pacsave` в каталоге/etc/iptables/. При необходимости восстановите свои правила из этих файлов. - Особое внимание стоит уделить системам, которые использовали нестандартные расширения
xtablesили особенности старой реализации — в таких случаях возможны нюансы, и тестирование крайне рекомендуется.
Что делает iptables-legacy?
Пакет iptables-legacy предоставляет старую реализацию инструментов, основанную на xtables. Он подходит для сценариев, когда специфичные legacy‑функции действительно необходимы и вы не можете или не хотите использовать совместимую работу через nft.
Совместимость и инструменты
Инструменты iptables, работающие через backend nftables, продолжают реализовывать команды в стиле классического iptables, но правила фактически применяются посредством API nf_tables. Такой совместимый слой называется xtables‑nft — это мост между привычным синтаксисом и новым механизмом ядра.
Выводы
- Arch Linux делает важный шаг в сторону обновления сетевого стека, устанавливая реализацию на базе
nftablesкак стандарт дляiptables. - Переход в большинстве случаев прозрачный для пользователя, однако администраторы должны быть внимательны при обновлении конфигураций и возможных зависимостей.
- Новая модель предлагает преимущества в производительности и унификации, особенно для сложных сетевых правил и двухстековых сред.
- Классическая реализация все еще доступна и может быть использована при необходимости.
Часто задаваемые вопросы
Что такое backend nft для iptables?
Это реализация, в которой инструменты с интерфейсом iptables взаимодействуют с фреймворком nftables через внутренний совместимый слой, обеспечивая современный механизм фильтрации пакетов.
Значит ли это, что старый iptables полностью убран?
Нет. Старый iptables доступен через пакет iptables-legacy, и вы можете использовать его, если вам нужны специфичные legacy‑функции.
Нужно ли что‑то делать при обновлении системы?
В большинстве случаев ничего. Однако стоит проверить файлы `.pacsave` и убедиться, что ваши правила применяются корректно после обновления.
Появятся ли проблемы с текущими конфигурациями?
Для простых и стандартных конфигураций проблем быть не должно. Если вы используете редкие расширения xtables или старые сценарии, протестируйте их работу и, при необходимости, используйте iptables-legacy.
Что лучше: nftables или старый iptables?
Для новых установок и сложных сетевых конфигураций nftables предпочтительнее из‑за гибкости и унифицированного подхода. Legacy‑iptables полезен только в специфичных случаях обратной совместимости.
Подробнее см. объявление.