Nedavno lansiranje nova verzija filtera paketa nftables 1.0.5, verzija u kojoj je napravljena većina ispravki grešaka, ali koja također dolazi s nekoliko novih funkcija, poboljšanja podrške i još mnogo toga.
Za one koji nisu upoznati sa nftablesom, trebali biste znati da je ovo objedinjuje interfejse za filtriranje paketa za IPv4, IPv6, ARP i mrežno premošćivanje (namijenjeno da zamijeni iptables, ip6table, arptables i ebtables). Istovremeno, objavljena je prateća biblioteka libnftnl 1.2.3, koja pruža API niskog nivoa za povezivanje sa podsistemom nf_tables.
Paket nftables uključuje komponente filtera paketa koje rade u korisničkom prostoru, dok je na razini kernela, podsistem nf_tables pruža dio Linux kernela od verzije 3.13.
Samo na osnovnom nivou pruža zajedničko sučelje koje je neovisno o protokolu specifičan i pruža osnovne funkcije za izdvajanje podataka iz paketa, izvođenje operacija podataka i kontrolu protoka.
u pravila izravnog filtriranja i upravljački programi specifični za protokol oni se kompajliraju u bajt kod u korisničkom prostoru, nakon čega se taj bajt kod učitava u kernel pomoću sučelja Netlink i izvršava u kernelu u posebnom virtualnom stroju koji sliči na BPF (Berkeley Packet Filters).
Takav pristup može značajno smanjiti veličinu koda za filtriranje koji radi na razini jezgre i eliminirati sve funkcije raščlanjivanja pravila i logike rada s protokolima u korisničkom prostoru.
Glavne nove značajke Nftables 1.0.5
U ovoj novoj verziji koja je predstavljena, to je naglašeno optimizator pravila poziva se navođenjem opcije “-o/–optimize”, problemi se rješavaju kombinacijom pravila, karte i konfiguracijske liste.
Još jedna promjena koja se ističe u novoj verziji je ta kombinovanjem elemenata etherneta i vlan-a, get daje definiciju liste dinamičke konfiguracije, koji se popunjava na osnovu parametara putanje paketa.
Pored toga, prikaz ravnala je podešen uklonjene su liste mapa koje sadrže maske u nazivima interfejsa, kao i povratne sklopke koji vode do pogrešnog leksičkog raščlanjivanja ispravnih pravila.
S druge strane, to se spominje popravljeni problemi sa sporim renderiranjem i automatskim spajanjem velikih lista sa elementima koji definišu opsege vrednosti, kao i pad prilikom dodavanja elemenata na pogrešnu listu skupova, popravljeno je nekoliko regresija u unosnom lekseru koje su narušile važeće skupove pravila i popravljeno usporavanje sa velikim listama pojedinačnih elemenata opsega.
Od ostalih promjena koji se ističu iz ove nove verzije:
- Ispravka za lažno prijavljivanje grešaka za tačna preklapanja.
- Popravi grešku segmentacije prilikom dodavanja elemenata u nevažeći skup.
- Popravi raščlanjivanje uređaja u netdev porodici u json-u.
- Popravljen pad prilikom pokušaja brisanja elementa u praznom skupu
- Dodata podrška za DF, LE PHB, VA za DSCP
- Dodata podrška za osf izraz, xfrm izraz, fib izraz, binop izraz, numgen izraz i hash izraz.
- Dodato nedostajuće zatvaranje sinproxy opsega
Konačno za one koje zanima više o tome O ovoj novoj verziji možete provjeriti detalje Na sledećem linku.
Kako instalirati novu verziju nftables 1.0.5?
Za one koji su zainteresovani da dobiju novu verziju nftables 1.0.5 trenutno se može kompajlirati samo izvorni kod na vašem sistemu. Iako će za nekoliko dana već sastavljeni binarni paketi biti dostupni u različitim Linux distribucijama.
Da biste kompajlirali, morate imati instalirane sljedeće zavisnosti:
Oni se mogu sastaviti sa:
./autogen.sh ./configure make make install
A za nftables 1.0.5 preuzimamo ga sa sljedeći link. A kompilacija se vrši sa sljedećim naredbama:
cd nftables ./autogen.sh ./configure make make install