nftables je projekt, který poskytuje filtrování paketů a klasifikaci paketů na Linuxu
Bylo zveřejněno vydání filtru paketů nftables 1.0.7, které přichází s některými vylepšeními, opravami a také s některými novými funkcemi.
Pro ty, kteří nejsou obeznámeni s nftables, měli byste vědět, že toto sjednocuje rozhraní pro filtrování paketů pro IPv4, IPv6, ARP a síťové přemostění (zamýšleno nahradit iptables, ip6table, arptables a ebtables). Ve stejnou dobu byla vydána doprovodná knihovna libnftnl 1.2.3, která poskytuje nízkoúrovňové API pro propojení se subsystémem nf_tables.
Balíček nftables zahrnuje komponenty paketového filtru, které fungují v uživatelském prostoru, zatímco na úrovni jádra poskytuje subsystém nf_tables část linuxového jádra od verze 3.13.
Pouze na základní úrovni poskytuje společné rozhraní, které je nezávislé na protokolu konkrétní a poskytuje základní funkce extrahovat data z paketů, provádět datové operace a řídit tok.
the pravidla přímého filtrování a ovladače specifické pro protokol jsou kompilovány do bytového kódu v uživatelském prostoru, po kterém je tento bytový kód načten do jádra pomocí rozhraní Netlink a spuštěn v jádře ve speciálním virtuálním stroji, který se podobá BPF (Berkeley Packet Filters).
Hlavní nové funkce Nftables 1.0.7
V této nové verzi, která pochází z nftables 1.0.7, pro systémy s jádrem Linux 6.2+, přidal podpora pro shodu protokolů vxlan, geneve, gre a gretap, což umožňuje jednoduchým výrazům kontrolovat hlavičky v zapouzdřených paketech.
Například pro kontrolu IP adresy v hlavičce vnořeného paketu VxLAN můžete nyní použít pravidla (aniž byste museli nejprve rozbalit hlavičku VxLAN a svázat filtr s rozhraním vxlan0):
Kromě toho je také zdůrazněno, žea implementována podpora automatického slučování zbytků po částečném odstranění položky z konfiguračního seznamu, což umožňuje odebrání položky nebo části rozsahu z existujícího rozsahu (dříve bylo možné rozsah odstranit pouze jako celek).
Například po odebrání položky 25 ze sady seznamů s rozsahy 24-30 a 40-50 zůstanou v seznamu 24, 26-30 a 40-50. Opravy potřebné pro automatické slučování budou poskytnuty ve vydáních oprav stabilních větví jádra 5.10+.
Také vyniká, že byl přidán podpora výrazu "poslední"Že umožňuje zjistit, kdy byl prvek seznamu pravidel nebo konfigurace naposledy použit. Tato funkce je podporována od linuxového jádra 5.14.
Na druhou stranu je také zdůrazněno, že byl přidán nový příkaz „zničit“. k bezpodmínečnému odstranění objektů (na rozdíl od příkazu remove nezvyšuje ENOENT při pokusu o odstranění chybějícího objektu). K fungování vyžaduje alespoň jádro Linuxu 6.3-rc.
- Použití konstant v set-listech je povoleno. Například pomocí seznamu cílové adresy a VLAN ID jako klíče můžete přímo zadat číslo VLAN (daddr. 123):
- Přidána možnost definovat kvóty na konfiguračních seznamech. Chcete-li například definovat kvótu provozu pro každou cílovou adresu IP, můžete zadat .
- Povolit použití kontaktů a rozsahů při mapování překladu adres (NAT).
Konečně pro ty, kteří se o tom chtějí dozvědět více O této nové verzi můžete zkontrolovat podrobnosti Na následujícím odkazu.
Jak nainstalovat novou verzi nftables 1.0.7?
Pro ty, kteří mají zájem získat novou verzi nftables 1.0.7 v tuto chvíli lze kompilovat pouze zdrojový kód ve vašem systému. I když během několika dní budou již kompilované binární balíčky dostupné v různých distribucích Linuxu.
Chcete-li kompilovat, musíte mít nainstalované následující závislosti:
Ty lze sestavit pomocí:
./autogen.sh ./configure make make install
A pro nftables 1.0.5 jej stahujeme z následující odkaz. Kompilace se provádí pomocí následujících příkazů:
cd nftables ./autogen.sh ./configure make make install