Få dage siden lanceringen af den nye version af pakkefilteret "nftables 0.9.4" blev annonceretDet det er udviklet som erstatning for iptables, ip6table, arptables og ebtables på grund af foreningen af pakkefiltreringsgrænseflader til IPv4-, IPv6-, ARP- og netværksbroer.
Nftables-pakken inkluderer pakkefilterkomponenter, der fungerer i brugerrummet, mens på kerneniveau leverer delsystemet nf_tables en del af Linux-kernen siden version 3.13.
Kun på kerneniveau giver en fælles grænseflade, der er uafhængig af en protokol specifikke og giver grundlæggende funktioner at udtrække data fra pakker, udføre datahandlinger og kontrollere flowet.
den regler for direkte filtrering og protokolspecifikke drivere de kompileres til en bytecode i brugerrummet, hvorefter denne bytecode indlæses i kernen ved hjælp af Netlink-grænsefladen og udføres i kernen på en speciel virtuel maskine, der ligner BPF (Berkeley Packet Filters).
En sådan tilgang kan reducere størrelsen på filtreringskoden, der fungerer på kerneniveau, betydeligt og eliminere alle funktionerne til at analysere reglerne og logikken ved at arbejde med protokoller i brugerrummet.
Vigtigste nye funktioner i Nftables 0.9.4
Alle nødvendige ændringer for at nftables 0.9.4-version fungerer er inkluderet i grenen af Linux-kerne 5.6 og i det understøttelse af intervaller i kombinationer "Sammenkædning, specifikke adresser og portpakker, der forenkler tildelingen."
For eksempel for et sæt "hvidlister", hvis elementer er kombinationer, angiver specifikationen af "rækkevidde" -indikatoren, at sættet kan omfatte områder i foreningen.
Tilføjet mulighed for at bruge sammenføjninger på NAT-links, der giver dig mulighed for at specificere adresse og port, når du definerer NAT-transformationer baseret på kortlister eller navngivne sæt.
Hertil kommer, at understøttelse af hardwareacceleration med fjernelse af nogle filtreringsoperationer. Acceleration det er aktiveret via ethtool-værktøjet ("ethtool -K eth0 hw-tc-offload til"), Hvorefter den fyres i nftables til hovedkæden ved hjælp af" offload "-flagget.
Når du bruger Linux-kerne 5.6, understøttes hardwareacceleratione for at matche overskriftsfelterne og verificere den indgående grænseflade i kombination med modtag, slip, duplikat (dup) og forward-pakker (fwd).
I sæt og lister over kort er det muligt at bruge "typeof" -direktivet, der bestemmer elementets format, når det matcher.
Af de andre ændringer der skiller sig ud fra denne version:
- Forbedret rapportering af bugplacering i regler.
- Tilføjet support til verificering af slave-interface ved at specificere "Meta sdif" eller «meta sdifnavn«
- Tilføjet support til at rulle til højre eller venstre. For eksempel for at ændre etiketten på den eksisterende pakke til venstre med 1 bit og indstille den mindste bit til 1.
- Implementeret mulighed "-V" for at vise information. Kommandolinjemuligheder skal nu angives før kommandoer. For eksempel skal du angive «nft -en liste regelsæt»Og udfør«nft liste regelsæt -a»Vil generere en fejl.
Hvordan installeres den nye version af nftables 0.9.4?
For dem der er interesserede i at kunne få den nye version af nftables 0.9.4 i øjeblikket kan kun kildekoden kompileres på dit system. Selvom de allerede kompilerede binære pakker i løbet af få dage vil være tilgængelige inden for de forskellige Linux-distributioner.
For at kompilere skal du have følgende afhængigheder installeret:
Disse kan sammensættes med:
./autogen.sh
./configure
make
make install
Og for nftables 0.9.4 downloader vi det fra følgende link. Og kompileringen udføres med følgende kommandoer:
cd nftables
./autogen.sh
./configure
make
make install