nftables 1.0.7 wurde bereits veröffentlicht und das sind seine Neuigkeiten

NTFables

nftables ist ein Projekt, das Paketfilterung und Paketklassifizierung unter Linux bereitstellt

Das Release des Paketfilters nftables 1.0.7 wurde veröffentlicht, das einige Verbesserungen, Korrekturen sowie einige neue Features mit sich bringt.

Für diejenigen, die mit nftables nicht vertraut sind, sollten Sie wissen, dass dies der Fall ist vereinheitlicht Paketfilterschnittstellen für IPv4, IPv6, ARP und Netzwerk-Bridging (soll iptables, ip6table, arptables und ebtables ersetzen). Gleichzeitig wurde die Begleitbibliothek libnftnl 1.2.3 veröffentlicht, die eine Low-Level-API für die Verbindung mit dem nf_tables-Subsystem bereitstellt.

Das nftables-Paket Enthält Paketfilterkomponenten, die im Benutzerbereich arbeiten. Auf Kernelebene stellt das Subsystem nf_tables seit Version 3.13 einen Teil des Linux-Kernels bereit.

Nur auf der Kernebene bietet eine gemeinsame Schnittstelle, die von einem Protokoll unabhängig ist spezifisch und bietet die Basisfunktionen Um Daten aus Paketen zu extrahieren, führen Sie Datenoperationen durch und steuern Sie den Fluss.

Die direkte Filterregeln und protokollspezifische Treiber Sie werden im Benutzerbereich zu einem Bytecode kompiliert. Anschließend wird dieser Bytecode über die Netlink-Schnittstelle in den Kernel geladen und im Kernel in einer speziellen virtuellen Maschine ausgeführt, die BPF (Berkeley Packet Filters) ähnelt.

Wichtige neue Funktionen von Nftables 1.0.7

In dieser neuen Version, die von nftables 1.0.7 kommt, für die Linux 6.2+ Kernelsysteme, hinzugefügt Unterstützung für vxlan, geneve, gre und gretap Protocol Matching, was es einfachen Ausdrücken ermöglicht, Header in gekapselten Paketen zu überprüfen.

Um beispielsweise die IP-Adresse im Header eines verschachtelten VxLAN-Pakets zu überprüfen, können Sie jetzt Regeln verwenden (ohne dass Sie zuerst den VxLAN-Header entkapseln und den Filter an die vxlan0-Schnittstelle binden müssen):

Darüber hinaus wird auch darauf hingewiesenund implementierte Unterstützung für die automatische Zusammenführung von Reststoffen nach teilweisem Entfernen eines Artikels aus der Konfigurationsliste, wodurch ein Artikel oder ein Teil eines Sortiments aus einem bestehenden Sortiment entfernt werden kann (vorher konnte ein Sortiment nur vollständig entfernt werden).

Wenn Sie beispielsweise Element 25 aus einem Listensatz mit den Bereichen 24–30 und 40–50 entfernen, bleiben 24, 26–30 und 40–50 in der Liste. Die Korrekturen, die für das automatische Zusammenführen erforderlich sind, werden in Patch-Releases der stabilen Kernel-Zweige von 5.10+ bereitgestellt.

Es wird auch darauf hingewiesen, dass es hinzugefügt wurde Unterstützung für den Ausdruck "last"Dass ermöglicht herauszufinden, wann das Element der Regel- oder Konfigurationsliste das letzte Mal verwendet wurde. Diese Funktion wird seit Linux-Kernel 5.14 unterstützt.

Andererseits wird auch hervorgehoben, dass Ein neuer „Zerstören“-Befehl wurde hinzugefügt um Objekte bedingungslos zu entfernen (im Gegensatz zum Befehl remove wird ENOENT nicht ausgelöst, wenn versucht wird, ein fehlendes Objekt zu entfernen). Es erfordert mindestens den Kernel Linux 6.3-rc, um zu funktionieren.

  • Die Verwendung von Konstanten in Setlisten ist erlaubt. Beispielsweise können Sie mit einer Liste aus Zieladresse und VLAN-ID als Schlüssel direkt die VLAN-Nummer (daddr . 123) angeben:
  • Möglichkeit hinzugefügt, Kontingente für Konfigurationslisten zu definieren. Um beispielsweise ein Verkehrskontingent für jede Ziel-IP-Adresse zu definieren, können Sie angeben.
  • Zulassen, dass Kontakte und Bereiche bei der Zuordnung von Adressübersetzungen (NAT) verwendet werden.

Schließlich für diejenigen, die mehr darüber wissen möchten Über diese neue Version können Sie die Details überprüfen im folgenden Link.

Wie installiere ich die neue Version von nftables 1.0.7?

Für diejenigen, die daran interessiert sind, die neue Version von nftables 1.0.7 zu erhalten Derzeit kann nur der Quellcode kompiliert werden auf Ihrem System. Obwohl in wenigen Tagen die bereits kompilierten Binärpakete in den verschiedenen Linux-Distributionen verfügbar sein werden.

Zum Kompilieren müssen die folgenden Abhängigkeiten installiert sein:

Diese können zusammengestellt werden mit:

./autogen.sh
./configure
make
make install

Und für nftables 1.0.5 laden wir es von herunter den folgenden Link. Die Kompilierung erfolgt mit folgenden Befehlen:

cd nftables
./autogen.sh
./configure
make
make install

Schreiben Sie den ersten Kommentar

Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.