nftables on projekti, joka tarjoaa pakettisuodatuksen ja pakettien luokittelun Linuxissa
Nftables 1.0.7 -pakettisuodattimen julkaisu on julkaistu, joka sisältää joitain parannuksia, korjauksia sekä joitain uusia ominaisuuksia.
Niiden, jotka eivät tunne nftablesia, sinun pitäisi tietää tämä yhdistää pakettisuodatusrajapinnat IPv4:lle, IPv6, ARP ja verkon siltaus (tarkoitettu korvaamaan iptables, ip6table, arptables ja ebtables). Samaan aikaan julkaistiin libnftnl 1.2.3 -parikirjasto, joka tarjoaa matalan tason API:n liittymää varten nf_tables-alijärjestelmään.
Nftables-paketti sisältää pakettisuodatinkomponentit, jotka toimivat käyttäjän tilassa, ytimen tasolla nf_tables-alijärjestelmä tarjoaa osan Linux-ytimestä versiosta 3.13 lähtien.
Vain ydintasolla tarjoaa yhteisen käyttöliittymän, joka on riippumaton protokollasta erityinen ja tarjoaa perustoiminnot poimia tietoja paketeista, suorittaa datatoimintoja ja hallita kulkua.
Las suorat suodatussäännöt ja protokollakohtaiset ohjaimet ne kootaan käyttäjäavaruuden tavukoodiksi, jonka jälkeen tämä tavukoodi ladataan ytimeen Netlink-käyttöliittymän avulla ja suoritetaan ytimessä erityisessä virtuaalikoneessa, joka muistuttaa BPF: ää (Berkeley Packet Filters).
Nftables 1.0.7: n tärkeimmät uudet ominaisuudet
Tässä uudessa versiossa, joka tulee nftables 1.0.7:stä, varten Linux 6.2+ -ydinjärjestelmät, lisätty tuki vxlan-, geneve-, gre- ja gretap-protokollan sovitukselle, jonka avulla yksinkertaiset lausekkeet voivat tarkistaa kapseloitujen pakettien otsikot.
Esimerkiksi sisäkkäisen VxLAN-paketin otsikossa olevan IP-osoitteen tarkistamiseksi voit nyt käyttää sääntöjä (ilman että VxLAN-otsikkoa on ensin purettava ja suodatin on sitova vxlan0-liitäntään):
Tämän lisäksi korostetaan myös sitäja otettiin käyttöön tuki jäämien automaattiselle yhdistämiselle kohteen osittaisen poistamisen jälkeen asetusluettelosta, jolloin alkio tai alueen osa voidaan poistaa olemassa olevasta alueesta (aiemmin alue voitiin poistaa vain kokonaisuudessaan).
Esimerkiksi, kun kohde 25 on poistettu luettelosta, jonka alueet ovat 24-30 ja 40-50, 24, 26-30 ja 40-50, jäävät luetteloon. Automaattisen yhdistämisen toimimiseen tarvittavat korjaukset tarjotaan 5.10+ vakaan ytimen haarojen korjauspäivityksissä.
Se erottuu myös siitä, että se lisättiin tuki ilmaisulle "viimeinen"Että antaa selville, milloin säännön tai asetusluettelon elementtiä on viimeksi käytetty. Tätä ominaisuutta on tuettu Linux-ytimen versiosta 5.14 lähtien.
Toisaalta korostetaan myös sitä uusi "destroy"-komento on lisätty objektien poistamiseen ehdoitta (toisin kuin poistokomento, se ei nosta ENOENT-arvoa yritettäessä poistaa puuttuvaa objektia). Se vaatii vähintään Linux 6.3-rc -ytimen toimiakseen.
- Vakioiden käyttö joukkolistoissa on sallittua. Esimerkiksi käyttämällä kohdeosoiteluetteloa ja VLAN-tunnusta avaimena, voit määrittää VLAN-numeron suoraan (daddr . 123):
- Lisätty mahdollisuus määrittää kiintiöitä kokoonpanoluetteloihin. Jos haluat esimerkiksi määrittää liikennekiintiön kullekin kohde-IP-osoitteelle, voit määrittää .
- Salli yhteystietojen ja alueiden käyttö osoitteenmuunnoksen (NAT) kartoituksessa.
Vihdoin niille, jotka ovat kiinnostuneita tietämään siitä lisää Tietoja uudesta versiosta voit tarkistaa yksityiskohdat Seuraavassa linkissä.
Kuinka asentaa nftables 1.0.7: n uusi versio?
Niille, jotka ovat kiinnostuneita nftables 1.0.7:n uuden version hankkimisesta tällä hetkellä vain lähdekoodi voidaan koota järjestelmässäsi. Vaikka muutamassa päivässä jo kootut binaaripaketit ovat saatavilla eri Linux-jakeluissa.
Kääntämiseksi sinulla on oltava asennettuna seuraavat riippuvuudet:
Ne voidaan koota:
./autogen.sh ./configure make make install
Ja nftables 1.0.5: lle lataamme sen seuraava linkki. Ja kokoaminen tapahtuu seuraavilla komennoilla:
cd nftables ./autogen.sh ./configure make make install