Arch Linux ha annunciato un passaggio significativo: il backend predefinito di iptables diventa quello basato su nftables. Questa modifica riflette l’evoluzione naturale del networking Linux, che da anni si sta spostando dal vecchio framework xtables verso nftables, più moderno e più adatto a gestire scenari complessi come ambienti dual‑stack IPv4/IPv6.
Con questo aggiornamento, il pacchetto iptables-nft viene sostituito da iptables, mentre il backend storico rimane disponibile come iptables-legacy. Per la maggior parte degli utenti non cambierà nulla: le configurazioni comuni continueranno a funzionare senza interventi manuali. Tuttavia, chi utilizza estensioni xtables poco diffuse o funzionalità specifiche del backend legacy dovrebbe testare attentamente il proprio setup.
Arch raccomanda di verificare la presenza di file .pacsave nella directory /etc/iptables/. Durante la migrazione tra backend diversi, infatti, le regole salvate possono essere spostate in file come iptables.rules.pacsave o ip6tables.rules.pacsave. Ripristinarle correttamente è fondamentale per mantenere il comportamento del firewall.
Il passaggio a nftables porta diversi vantaggi: una struttura più pulita, una gestione unificata per IPv4 e IPv6, una sintassi più moderna e una maggiore efficienza nella manipolazione delle regole. Per chi utilizza strumenti come firewalld o nft direttamente, questo cambiamento rappresenta un ulteriore passo verso un sistema più coerente e aggiornato.
Implicazioni per gli utenti e compatibilità con il backend legacy
Per la maggior parte degli utenti Arch, il nuovo comportamento non richiederà modifiche. Le configurazioni standard, come quelle generate da strumenti automatici o firewall semplici, continueranno a funzionare senza differenze percepibili. Il backend nft è infatti progettato per essere compatibile con le regole tradizionali, traducendole internamente.
I casi che richiedono attenzione riguardano configurazioni avanzate basate su estensioni xtables non comuni o su comportamenti specifici del backend legacy. In queste situazioni, Arch suggerisce di testare attentamente il firewall e, se necessario, tornare temporaneamente a iptables-legacy.
Il nuovo pacchetto iptables punta quindi a un futuro più moderno e allineato con lo sviluppo del kernel Linux, mantenendo comunque una via di fuga per chi ha bisogno di compatibilità totale. Un cambiamento che conferma la filosofia di Arch: rimanere all’avanguardia senza sacrificare la flessibilità.
Fonte: Linuxiac
