Firewall netfilter a jeho systém pravidel iptables jsou v linuxovém jádře už mnoho let. Nyní to vypadá, že jejich život končí. Na začlenění do linuxového jádra je připraven nový firewallový subsystém nftables. Skládá se z nové implementace filtru, nového systému pravidel (jak iptables, tak ip6tables, arptables a ebtables), knihoven a utility pro manipulaci s pravidly (nft
). Součástí je i vrstva pro kompatibilitu se staršími pravidly, proto je nebude nutné přepisovat.
Důvodů, proč vzniklo řešení nftables, je celá řada. Poskytuje jednotné rozhraní pro všechny druhy pravidel (místo dosavadních čtyř), odstraňuje duplicity v kódu (což je výhodné jak z hlediska spotřeby paměti, tak pro údržbu a rozvoj kódu), přesouvá mnoho kódu z jádra do uživatelského prostoru (pravidla se předkompilují a pak se přes Netlink posílají do jádra; výsledkem je větší stabilita jádra a větší flexibilita bez nutnosti aktualizovat jádro) a zajišťuje vyšší výkon díky datovým strukturám s nižší operační složitostí.