nftables er et projekt, der giver pakkefiltrering og pakkeklassificering på Linux
Udgivelsen af nftables 1.0.7 pakkefilteret er blevet offentliggjort, som kommer med nogle forbedringer, rettelser samt nogle nye funktioner.
For dem, der ikke er bekendt med nftables, bør du vide, at dette forener pakkefiltreringsgrænseflader til IPv4, IPv6, ARP og netværksbro (beregnet til at erstatte iptables, ip6table, arptables og ebtables). Samtidig blev libnftnl 1.2.3-ledsagelsesbiblioteket frigivet, som giver en lav-niveau API til interfacing med nf_tables-undersystemet.
Nftables-pakken inkluderer pakkefilterkomponenter, der fungerer i brugerrummet, mens på kerneniveau leverer delsystemet nf_tables en del af Linux-kernen siden version 3.13.
Kun på kerneniveau giver en fælles grænseflade, der er uafhængig af en protokol specifikke og giver grundlæggende funktioner at udtrække data fra pakker, udføre datahandlinger og kontrollere flowet.
den regler for direkte filtrering og protokolspecifikke drivere de kompileres til en bytecode i brugerrummet, hvorefter denne bytecode indlæses i kernen ved hjælp af Netlink-grænsefladen og udføres i kernen på en speciel virtuel maskine, der ligner BPF (Berkeley Packet Filters).
Vigtigste nye funktioner i Nftables 1.0.7
I denne nye version, der kommer fra nftables 1.0.7, til Linux 6.2+ kernesystemer, tilføjet understøttelse af vxlan, geneve, gre og gretap protokol matching, som tillader simple udtryk at kontrollere overskrifter i indkapslede pakker.
For eksempel, for at kontrollere IP-adressen i headeren på en indlejret VxLAN-pakke, kan du nu bruge regler (uden at du først behøver at fjerne indkapslingen af VxLAN-headeren og binde filteret til vxlan0-grænsefladen):
Udover dette fremhæves det ogsåog implementeret support til automatisk sammenlægning af rester efter delvis fjernelse af et element fra konfigurationslisten, hvilket gør det muligt at fjerne et element eller en del af et område fra et eksisterende område (tidligere kunne et område kun fjernes i sin helhed).
For eksempel, efter fjernelse af punkt 25 fra et listesæt med intervaller 24-30 og 40-50, forbliver 24, 26-30 og 40-50 på listen. De rettelser, der kræves for, at automatisk fletning fungerer, vil blive leveret i patch-udgivelser af 5.10+ stabile kernegrene.
Det skiller sig også ud, at det blev tilføjet støtte til udtrykket "sidste"Det giver mulighed for at finde ud af sidste gang elementet i reglen eller konfigurationslisten blev brugt. Denne funktion er blevet understøttet siden Linux-kerne 5.14.
På den anden side fremhæves det også en ny "destroy"-kommando er blevet tilføjet at fjerne objekter betingelsesløst (i modsætning til fjernkommandoen, hæver den ikke ENOENT, når man forsøger at fjerne et manglende objekt). Det kræver mindst Linux 6.3-rc kerne for at fungere.
- Det er tilladt at bruge konstanter i sæt-lister. For eksempel, ved at bruge en liste over destinationsadressen og VLAN ID som nøgle, kan du direkte angive VLAN-nummeret (daddr . 123):
- Tilføjet muligheden for at definere kvoter på konfigurationslister. For at definere en trafikkvote for hver destinations-IP-adresse kan du f.eks. angive .
- Tillad, at kontakter og områder bruges til kortlægning af adresseoversættelse (NAT).
Endelig for dem der er interesserede i at vide mere om det Om denne nye version kan du kontrollere detaljerne I det følgende link.
Hvordan installeres den nye version af nftables 1.0.7?
For dem, der er interesseret i at kunne få den nye version af nftables 1.0.7 i øjeblikket kan kun kildekoden kompileres på dit system. Selvom de allerede kompilerede binære pakker i løbet af få dage vil være tilgængelige inden for de forskellige Linux-distributioner.
For at kompilere skal du have følgende afhængigheder installeret:
Disse kan sammensættes med:
./autogen.sh ./configure make make install
Og for nftables 1.0.5 downloader vi det fra følgende link. Og kompileringen udføres med følgende kommandoer:
cd nftables ./autogen.sh ./configure make make install