nftables és un projecte que proporciona filtratge de paquets i classificació de paquets a Linux
S'ha publicat el llançament del filtre de paquets nftables 1.0.7 la qual arriba amb algunes millores, correccions així com també amb algunes novetats.
Per als que desconeixen de nftables, han de saber que aquest unifica les interfícies de filtratge de paquets per a IPv4, IPv6, ARP i ponts de xarxa (destinat a reemplaçar iptables, ip6table, arptables i ebtables). Alhora, es va publicar el llançament de la biblioteca complementària libnftnl 1.2.3 , que proporciona una API de baix nivell per interactuar amb el subsistema nf_tables.
El paquet nftables inclou components de filtre de paquets que funcionen a l'espai de l'usuari, mentre que a nivell de l'nucli, el subsistema nf_tables proporciona una part de el nucli de Linux des de la versió 3.13.
A nivell de l'nucli, només es proporciona una interfície comuna que és independent d'un protocol específic i proporciona les funcions bàsiques d'extreure dades de paquets, realitzar operacions de dades i controlar el flux.
Els regles de filtrat directe i els controladors específics de l'protocol es compilen en un bytecode en l'espai de l'usuari, després de la qual cosa aquest bytecode es carrega en el nucli utilitzant la interfície Netlink i s'executa en el nucli en una màquina virtual especial que s'assembla a BPF (Berkeley Packet Filters).
Principals novetats de Nftables 1.0.7
En aquesta nova versió que es presenta de nftables 1.0.7, per als sistemes kernel de Linux 6.2+, es va afegir compatibilitat amb la coincidència de protocols vxlan, geneve, gre i gretap, cosa que permet expressions simples per verificar encapçalats en paquets encapsulats.
Per exemple, per verificar l'adreça IP a la capçalera d'un paquet imbricat de VxLAN, ara podeu utilitzar regles (sense la necessitat de desencapsular primer la capçalera de VxLAN i vincular el filtre a la interfície vxlan0):
A més, també es destaca que si va implementar el suport per a la fusió automàtica de residus després de l'eliminació parcial d'un element de la llista de configuració, això permet eliminar un element o part d'un rang d'un rang existent (anteriorment, un rang només es podia eliminar íntegrament).
Per exemple, després d'eliminar l'element 25 d'una llista establerta amb rangs 24-30 i 40-50, 24, 26-30 i 40-50 romandreu a la llista. Les correccions necessàries perquè funcioni la fusió automàtica s'oferiran en versions correctives de les branques estables 5.10+ del nucli.
També es destaca que es va agregar suport per a l'expressió «last», que permet esbrinar la darrera vegada que es va fer servir l'element de la regla o llista de configuració. Aquesta característica ha estat compatible des del nucli de Linux 5.14.
D'altra banda, també es destaca que s'ha afegit una nova ordre «destroy» per eliminar objectes incondicionalment (a diferència de l'ordre eliminar, no genera ENOENT quan s'intenta eliminar un objecte faltant). Requereix almenys el nucli Linux 6.3-rc per funcionar.
- Es permet l'ús de constants a set-lists. Per exemple, en utilitzar una llista de l'adreça de destinació i la ID de VLAN com a clau, podeu especificar directament el número de VLAN (daddr . 123):
- S'ha afegit la capacitat de definir quotes en llistes de configuració. Per exemple, per definir una quota de trànsit per a cada adreça IP de destinació, podeu especificar.
- Permet que els contactes i els rangs s'utilitzin al mapatge de traducció d'adreces (NAT).
Finalment per als que estiguin interessats en poder conèixer més a l'respecte sobre aquesta nova versió, poden consultar els detalls en el següent enllaç.
Com instal·lar la nova versió de nftables 1.0.7?
Per a aquells que estiguin interessats a poder obtenir la nova versió de nftables 1.0.7 de moment només es pot compilar el codi font en el seu sistema. Encara que en qüestió de dies estaran disponibles els paquets binaris ja compilats dins de les diferents distribucions de Linux.
Per realitzar la compilació has de comptar amb les següents dependències instal·lades:
Aquestes les pots compilar amb:
./autogen.sh ./configure make make install
I per nftables 1.0.5 aquest el descarreguem des el següent enllaç. I la compilació es realitza amb les següents comandes:
cd nftables ./autogen.sh ./configure make make install