nftables е проект, който осигурява филтриране на пакети и класификация на пакети в Linux
Изданието на филтъра за пакети nftables 1.0.7 беше публикувано, което идва с някои подобрения, корекции, както и някои нови функции.
За тези, които не са запознати с nftables, трябва да знаете, че това обединява интерфейсите за филтриране на пакети за IPv4, IPv6, ARP и мрежово свързване (предназначени да заменят iptables, ip6table, arptables и ebtables). В същото време беше пусната придружаващата библиотека libnftnl 1.2.3, която предоставя API на ниско ниво за взаимодействие с подсистемата nf_tables.
Пакетът nftables включва компоненти за филтриране на пакети, които работят в потребителско пространство, докато на ниво ядро, подсистемата nf_tables предоставя част от ядрото на Linux от версия 3.13.
Само на основно ниво осигурява общ интерфейс, който е независим от протокол специфични и осигурява основни функции за извличане на данни от пакети, извършване на операции с данни и контрол на потока.
на правила за директно филтриране и специфични за протокола драйвери те се компилират в байт код в потребителското пространство, след което този байт код се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в ядрото в специална виртуална машина, която прилича на BPF (Berkeley Packet Filters).
Основни нови функции на Nftables 1.0.7
В тази нова версия, която идва от nftables 1.0.7, за Системи с ядро на Linux 6.2+, добавен поддръжка за съвпадение на протоколи vxlan, geneve, gre и gretap, което позволява прости изрази да проверяват заглавки в капсулирани пакети.
Например, за да проверите IP адреса в заглавката на вложен VxLAN пакет, вече можете да използвате правила (без да е необходимо първо да декапсулирате VxLAN заглавката и да свържете филтъра към vxlan0 интерфейса):
В допълнение към това се подчертава и товаи внедрена поддръжка за автоматично сливане на остатъци след частично премахване на елемент от конфигурационния списък, позволявайки елемент или част от диапазон да бъдат премахнати от съществуващ диапазон (преди това диапазон можеше да бъде премахнат само изцяло).
Например, след премахване на елемент 25 от набор от списък с диапазони 24-30 и 40-50, 24, 26-30 и 40-50 ще останат в списъка. Поправките, необходими за работа на автоматичното сливане, ще бъдат осигурени в издания на корекции на стабилните клонове на ядрото 5.10+.
Отбелязва се също, че е добавен подкрепа за израза "последен"Че позволява да разберете последния път, когато е бил използван елементът от списъка с правила или конфигурация. Тази функция се поддържа от ядрото на Linux 5.14.
От друга страна, също се подчертава, че добавена е нова команда „унищожи“. за безусловно премахване на обекти (за разлика от командата за премахване, тя не повдига ENOENT, когато се опитва да премахне липсващ обект). Изисква поне Linux 6.3-rc ядро, за да работи.
- Използването на константи в списъците с набори е разрешено. Например, като използвате списък с адрес на дестинация и VLAN ID като ключ, можете директно да посочите номера на VLAN (daddr. 123):
- Добавена е възможност за определяне на квоти в списъците с конфигурация. Например, за да определите квота за трафик за всеки IP адрес на местоназначение, можете да посочите .
- Разрешаване на контакти и диапазони, които да се използват при преобразуване на преобразуване на адреси (NAT).
Накрая за тези, които се интересуват да знаят повече за това За тази нова версия можете да проверите подробностите В следващия линк.
Как да инсталирам новата версия на nftables 1.0.7?
За тези, които се интересуват от възможността да получат новата версия на nftables 1.0.7 в момента може да се компилира само изходният код на вашата система. Въпреки че след броени дни вече съставените двоични пакети ще бъдат налични в различните дистрибуции на Linux.
За да компилирате, трябва да имате инсталирани следните зависимости:
Те могат да се компилират с:
./autogen.sh ./configure make make install
А за nftables 1.0.5 го изтегляме от следната връзка. И компилацията се извършва със следните команди:
cd nftables ./autogen.sh ./configure make make install