Το nftables είναι ένα έργο που παρέχει φιλτράρισμα πακέτων και ταξινόμηση πακέτων στο Linux
Δημοσιεύτηκε η κυκλοφορία του φίλτρου πακέτων nftables 1.0.7, το οποίο συνοδεύεται από κάποιες βελτιώσεις, διορθώσεις καθώς και κάποιες νέες δυνατότητες.
Για όσους δεν είναι εξοικειωμένοι με τα nftables, θα πρέπει να ξέρετε ότι αυτό ενοποιεί τις διεπαφές φιλτραρίσματος πακέτων για το IPv4, IPv6, ARP και γεφύρωση δικτύου (προορίζεται να αντικαταστήσει τα iptables, ip6table, arptables και ebtables). Ταυτόχρονα, κυκλοφόρησε η συνοδευτική βιβλιοθήκη libnftnl 1.2.3, η οποία παρέχει ένα API χαμηλού επιπέδου για διασύνδεση με το υποσύστημα nf_tables.
Το πακέτο nftables περιλαμβάνει στοιχεία φίλτρου πακέτων που λειτουργούν στο χώρο του χρήστη, ενώ στο επίπεδο του πυρήνα, το υποσύστημα nf_tables παρέχει ένα μέρος του πυρήνα Linux από την έκδοση 3.13.
Στο βασικό επίπεδο, μόνο παρέχει μια κοινή διεπαφή ανεξάρτητη από ένα πρωτόκολλο συγκεκριμένη και παρέχει το βασικές λειτουργίες για εξαγωγή δεδομένων από πακέτα, εκτέλεση λειτουργιών δεδομένων και έλεγχο της ροής.
ο κανόνες άμεσου φιλτραρίσματος και προγράμματα οδήγησης ειδικά για πρωτόκολλα μεταγλωττίζονται σε έναν bytecode στο χώρο χρήστη, μετά τον οποίο αυτός ο bytecode φορτώνεται στον πυρήνα χρησιμοποιώντας τη διασύνδεση Netlink και εκτελείται στον πυρήνα σε μια ειδική εικονική μηχανή που μοιάζει με BPF (Berkeley Packet Filters).
Κύρια νέα χαρακτηριστικά του Nftables 1.0.7
Σε αυτή τη νέα έκδοση που προέρχεται από το nftables 1.0.7, για το Συστήματα πυρήνα Linux 6.2+, προστέθηκε υποστήριξη για αντιστοίχιση πρωτοκόλλων vxlan, geneve, gre και gretap, που επιτρέπει σε απλές εκφράσεις να ελέγχουν τις κεφαλίδες σε ενθυλακωμένα πακέτα.
Για παράδειγμα, για να ελέγξετε τη διεύθυνση IP στην κεφαλίδα ενός ένθετου πακέτου VxLAN, μπορείτε τώρα να χρησιμοποιήσετε κανόνες (χωρίς να χρειάζεται πρώτα να αποσυμπιέσετε την κεφαλίδα VxLAN και να συνδέσετε το φίλτρο στη διεπαφή vxlan0):
Πέραν αυτού, τονίζεται επίσης ότικαι εφάρμοσε υποστήριξη για αυτόματη συγχώνευση υπολειμμάτων μετά τη μερική κατάργηση ενός στοιχείου από τη λίστα διαμόρφωσης, επιτρέποντας σε ένα στοιχείο ή μέρος μιας περιοχής να αφαιρεθεί από μια υπάρχουσα περιοχή (προηγουμένως, μια περιοχή μπορούσε να αφαιρεθεί μόνο στο σύνολό της).
Για παράδειγμα, μετά την κατάργηση του στοιχείου 25 από ένα σύνολο λίστας με εύρη 24-30 και 40-50, 24, 26-30 και 40-50 θα παραμείνουν στη λίστα. Οι διορθώσεις που απαιτούνται για να λειτουργήσει η αυτόματη συγχώνευση θα παρέχονται σε εκδόσεις ενημερώσεων κώδικα των 5.10+ σταθερών κλάδων πυρήνα.
Σημειώνεται επίσης ότι προστέθηκε υποστήριξη για την έκφραση "τελευταίο"Ότι σας επιτρέπει να μάθετε την τελευταία φορά που χρησιμοποιήθηκε το στοιχείο του κανόνα ή της λίστας ρυθμίσεων. Αυτή η δυνατότητα υποστηρίζεται από τον πυρήνα Linux 5.14.
Από την άλλη πλευρά, επισημαίνεται επίσης ότι έχει προστεθεί μια νέα εντολή "καταστροφής". για να αφαιρέσετε αντικείμενα χωρίς όρους (σε αντίθεση με την εντολή αφαίρεσης, δεν ανεβάζει το ENOENT όταν προσπαθείτε να αφαιρέσετε ένα αντικείμενο που λείπει). Απαιτεί τουλάχιστον πυρήνα Linux 6.3-rc για να λειτουργήσει.
- Επιτρέπεται η χρήση σταθερών σε λίστες συνόλων. Για παράδειγμα, χρησιμοποιώντας μια λίστα με τη διεύθυνση προορισμού και το αναγνωριστικό VLAN ως κλειδί, μπορείτε να καθορίσετε απευθείας τον αριθμό VLAN (daddr . 123):
- Προστέθηκε η δυνατότητα καθορισμού ορίων στις λίστες διαμόρφωσης. Για παράδειγμα, για να ορίσετε ένα όριο επισκεψιμότητας για κάθε διεύθυνση IP προορισμού, μπορείτε να καθορίσετε .
- Να επιτρέπεται η χρήση επαφών και περιοχών στη χαρτογράφηση μετάφρασης διευθύνσεων (NAT).
Τελικά για όσους ενδιαφέρονται να μάθουν περισσότερα γι 'αυτό Σχετικά με αυτήν τη νέα έκδοση, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.
Πώς να εγκαταστήσετε τη νέα έκδοση του nftables 1.0.7;
Για όσους ενδιαφέρονται να μπορέσουν να αποκτήσουν τη νέα έκδοση του nftables 1.0.7 προς το παρόν μόνο ο πηγαίος κώδικας μπορεί να καταρτιστεί στο σύστημά σας. Αν και σε λίγες μέρες τα ήδη καταρτισμένα δυαδικά πακέτα θα είναι διαθέσιμα στις διάφορες διανομές Linux.
Για να μεταγλωττίσετε, πρέπει να έχετε εγκαταστήσει τις ακόλουθες εξαρτήσεις:
Αυτά μπορούν να συγκεντρωθούν με:
./autogen.sh ./configure make make install
Και για nftables 1.0.5 το κατεβάζουμε από τον ακόλουθο σύνδεσμο. Και η συλλογή γίνεται με τις ακόλουθες εντολές:
cd nftables ./autogen.sh ./configure make make install