Предыдущая значительная ветка 1.4 вышла 8 лет назад, в декабре 2007.

Введён слой совместимости iptables-compat (утилиты iptables-compat, iptables-compat-save, ...), позволяющий мигрировать на nftables, не ломая обратной совместимости. Много мелких исправлений и улучшений. Нарушения совместимости:

• удалены targets MIRROR и SAME;
• удалён match «unclean».

Nftables — замена для {ip | ip6 | arp | eb}tables, доступна начиная с ядра 3.13.

( Основные отличия от iptables )

>>> Анонс в рассылке на netfilter.org

В ветку linux-next, на базе которой будет сформировано ядро версии 3.13, добавлена новая реализация подсистемы пакетной фильтрации nftables. Разработка системы ведётся с 2009 года, её целью является замена подсистем iptables, ip6table, arptables и ebtables. Результата разработчики желают добиться путём сокращения количества (и дублей) кода уровня ядра, упрощения взаимодействия ядра и userspace-приложений, а также использования байт-кода для компилирования правил фильтрации и исполнения их в ядре.

Представленный для включения в ядро код подразумевает сосуществование старых и новой подсистем, поскольку nftables ещё требует доработки и тестирования.

( читать дальше... )

>>> Подробности