Fa diversos dies va ser anunciat el llançament de la nova versió de l'filtre de paquets "nftables 0.9.4", que es desenvolupa com un reemplaçament per iptables, ip6table, arptables i ebtables a causa de la unificació de les interfícies de filtrat de paquets per a IPv4, IPv6, ARP i ponts de xarxa.
El paquet nftables inclou components de filtre de paquets que funcionen a l'espai de l'usuari, mentre que a nivell de l'nucli, el subsistema nf_tables proporciona una part de el nucli de Linux des de la versió 3.13.
A nivell de l'nucli, només es proporciona una interfície comuna que és independent d'un protocol específic i proporciona les funcions bàsiques d'extreure dades de paquets, realitzar operacions de dades i controlar el flux.
Els regles de filtrat directe i els controladors específics de l'protocol es compilen en un bytecode en l'espai de l'usuari, després de la qual cosa aquest bytecode es carrega en el nucli utilitzant la interfície Netlink i s'executa en el nucli en una màquina virtual especial que s'assembla a BPF (Berkeley Packet Filters).
Tal enfocament pot reduir significativament la mida de el codi de filtrat que funciona a nivell de nucli i eliminar totes les funcions d'analitzar les regles i la lògica de treballar amb protocols en l'espai de l'usuari.
Principals novetats de Nftables 0.9.4
Tots els canvis necessaris perquè la versió nftables 0.9.4 funcioni estan inclosos en la branca de l' nucli de Linux 5.6 i en ella s'afegeix el suport per a rangs en combinacions "Concatenació, adreces específiques i paquets de ports que simplifiquen l'assignació".
Per exemple, per a un conjunt de «llista blanca» els elements són combinacions, l'especificació de l'indicador de «interval» indicarà que el conjunt pot incloure rangs en la unió.
Es va agregar la capacitat d'usar combinacions en enllaços NAT, El que li permet especificar l'adreça i el port a l'definir transformacions NAT basades en llistes de mapes o conjunts amb nom.
A més, es va afegir el suport per a l'acceleració de maquinari amb l'eliminació d'algunes operacions de filtrat. l'acceleració s'habilita a través de la utilitat ethtool ("ethtool -K eth0 hw-tc-offload on«), Després de la qual cosa s'activa en nftables per a la cadena principal utilitzant l'indicador« offload ».
Quan s'utilitza el nucli de Linux 5.6, s'admet l'acceleració de Hardwari per fer coincidir els camps de capçalera i verificar la interfície entrant en combinació amb la recepció, caiguda, duplicació (dup) i reenviament de paquets (fwd).
En conjunts i llistes de mapes, és possible utilitzar la directiva «typeof», que determina el format de l'element a l'fer coincidir.
Dels altres canvis que es destaquen d'aquesta versió:
- Informe millorat de la ubicació de l'error en les regles.
- Es va agregar suport per verificar la interfície esclava especificant «Meta sdif» O"meta sdifname«
- Es va agregar suport per al desplaçament cap a la dreta o cap a l'esquerra. Per exemple, per canviar l'etiqueta de el paquet existent a l'esquerra en 1 bit i establir el bit més petit en 1.
- Opció implementada «-V» per mostrar informació. Les opcions de línia d'ordres ara s'han d'especificar abans de les ordres. Per exemple, ha d'especificar «NFT -a list ruleset»I executar«NFT list ruleset -a»Generarà un error.
Com instal·lar la nova versió de nftables 0.9.4?
Per a aquells que estiguin interessats en poder obtenir la nova versió de nftables 0.9.4 de moment només es pot compilar el codi font en el seu sistema. Encara que en qüestió de dies estaran disponibles els paquets binaris ja compilats dins de les diferents distribucions de Linux.
Per realitzar la compilació has de comptar amb les següents dependències instal·lades:
Aquestes les pots compilar amb:
./autogen.sh
./configure
make
make install
I per nftables 0.9.4 aquest el descarreguem des el següent enllaç. I la compilació es realitza amb les següents comandes:
cd nftables
./autogen.sh
./configure
make
make install