Увазе грамадскасці прадстаўлены першы публічны выпуск праекту nftables,новай рэалізацыі пакетнага фільтра для Linux, ідучага на змену iptables.
Галоўным адрозненнем nftables з'яўляецца не толькі які змяніўся сінтаксіс задання правіл, але і цалкам новы падыход у іх трансляцыі: вызначаныя карыстачом правіла зараз пераўтворацца ў адмысловы псеўдакод, які выкарыстоўваецца для прыняцця рашэння па наступных дзеяннях з пакетам усярэдзіне ядраў.
Nftables складаецца з трох частак: кода фільтравання, якое працуе ўсярэдзіне ядра, злучнай інтэрфейснай netlink бібліятэкі libnl і фронтэнда, што працуе на ўзроўні карыстача, пры гэтым праверка карэктнасці правіл выконваецца па-за ядром, а ядро толькі выконвае фільтраванне.
Новы сінтаксіс правіл, у якім можна задаваць умовы, ствараць зменныя, выконваць матэматычныя аперацыі, выглядае так:
chain filter output {
ct state established,related accept
tcp dport 22 accept
counter drop
}
Код nftables яшчэ знаходзіцца на стадыі альфа тэставання і не падыходзіць для выкарыстання ў прамысловай эксплуатацыі, тым не менш падчас рэгулярнага тэставання апошні крах ядра з-за збою nftables быў зафіксаваны некалькі месяцаў назад.