nftables je projekat koji pruža filtriranje paketa i klasifikaciju paketa na Linuxu
Objavljeno je izdanje filtera paketa nftables 1.0.7, koje dolazi sa nekim poboljšanjima, ispravkama kao i nekim novim karakteristikama.
Za one koji nisu upoznati sa nftablesom, trebali biste znati da je ovo objedinjuje interfejse za filtriranje paketa za IPv4, IPv6, ARP i mrežno premošćivanje (namijenjeno da zamijeni iptables, ip6table, arptables i ebtables). Istovremeno, objavljena je prateća biblioteka libnftnl 1.2.3, koja pruža API niskog nivoa za povezivanje sa podsistemom nf_tables.
Paket nftables uključuje komponente filtera paketa koje rade u korisničkom prostoru, dok je na razini kernela, podsistem nf_tables pruža dio Linux kernela od verzije 3.13.
Samo na osnovnom nivou pruža zajedničko sučelje koje je neovisno o protokolu specifičan i pruža osnovne funkcije za izdvajanje podataka iz paketa, izvođenje operacija podataka i kontrolu protoka.
u pravila izravnog filtriranja i upravljački programi specifični za protokol oni se kompajliraju u bajt kod u korisničkom prostoru, nakon čega se taj bajt kod učitava u kernel pomoću sučelja Netlink i izvršava u kernelu u posebnom virtualnom stroju koji sliči na BPF (Berkeley Packet Filters).
Glavne nove značajke Nftables 1.0.7
U ovoj novoj verziji koja dolazi iz nftables 1.0.7, za Linux 6.2+ kernel sistemi, dodano podrška za uparivanje protokola vxlan, geneve, gre i gretap, koji omogućava jednostavnim izrazima da provjere zaglavlja u inkapsuliranim paketima.
Na primjer, da biste provjerili IP adresu u zaglavlju ugniježđenog VxLAN paketa, sada možete koristiti pravila (bez potrebe da prvo dekapsulirate VxLAN zaglavlje i povežete filter sa vxlan0 sučeljem):
Pored ovoga, ističe se i toi implementirana podrška za automatsko spajanje ostataka nakon djelomičnog uklanjanja stavke sa konfiguracijske liste, omogućavanje uklanjanja stavke ili dijela raspona iz postojećeg raspona (ranije je raspon mogao biti uklonjen samo u cijelosti).
Na primjer, nakon uklanjanja stavke 25 iz liste skupa s rasponima 24-30 i 40-50, 24, 26-30 i 40-50 će ostati na listi. Popravci potrebni da bi automatsko spajanje funkcioniralo bit će osigurani u izdanjima zakrpa 5.10+ stabilnih grana kernela.
Takođe se napominje da je dodan podrška za izraz "zadnji"que omogućava da se sazna kada je zadnji put korišten element liste pravila ili konfiguracije. Ova funkcija je podržana od Linux kernela 5.14.
S druge strane, također je istaknuto da dodana je nova "destroy" komanda za bezuslovno uklanjanje objekata (za razliku od naredbe za uklanjanje, ona ne podiže ENOENT kada pokušava ukloniti objekt koji nedostaje). Za rad je potrebno barem Linux 6.3-rc kernel.
- Upotreba konstanti u set-listama je dozvoljena. Na primjer, koristeći listu odredišne adrese i VLAN ID kao ključ, možete direktno odrediti VLAN broj (tata . 123):
- Dodata mogućnost definiranja kvota na konfiguracijskim listama. Na primjer, da biste definirali prometnu kvotu za svaku odredišnu IP adresu, možete odrediti .
- Dozvolite da se kontakti i opsezi koriste u mapiranju prevođenja adresa (NAT).
Konačno za one koje zanima više o tome O ovoj novoj verziji možete provjeriti detalje Na sledećem linku.
Kako instalirati novu verziju nftables 1.0.7?
Za one koji su zainteresovani da dobiju novu verziju nftables 1.0.7 trenutno se može kompajlirati samo izvorni kod na vašem sistemu. Iako će za nekoliko dana već sastavljeni binarni paketi biti dostupni u različitim Linux distribucijama.
Da biste kompajlirali, morate imati instalirane sljedeće zavisnosti:
Oni se mogu sastaviti sa:
./autogen.sh ./configure make make install
A za nftables 1.0.5 preuzimamo ga sa sljedeći link. A kompilacija se vrši sa sljedećim naredbama:
cd nftables ./autogen.sh ./configure make make install