nftables est un projet qui fournit le filtrage et la classification des paquets sous Linux
La version du filtre de paquets nftables 1.0.7 a été publiée, qui s'accompagne de quelques améliorations, de corrections ainsi que de nouvelles fonctionnalités.
Pour ceux qui ne sont pas familiers avec nftables, vous devez savoir que cela unifie les interfaces de filtrage de paquets pour IPv4, IPv6, ARP et pont réseau (destiné à remplacer iptables, ip6table, arptables et ebtables). Dans le même temps, la bibliothèque compagnon libnftnl 1.2.3 a été publiée, qui fournit une API de bas niveau pour l'interface avec le sous-système nf_tables.
Le paquet nftables inclut des composants de filtrage de paquets qui fonctionnent dans l'espace utilisateur, tandis qu'au niveau du noyau, le sous-système nf_tables fournit une partie du noyau Linux depuis la version 3.13.
Au niveau de base, seulement fournit une interface commune indépendante d'un protocole spécifique et fournit le fonctions de base pour extraire des données de paquets, effectuer des opérations de données et contrôler le flux.
Les règles de filtrage direct et pilotes spécifiques au protocole ils sont compilés dans un bytecode dans l'espace utilisateur, après quoi ce bytecode est chargé dans le noyau en utilisant l'interface Netlink et exécuté dans le noyau dans une machine virtuelle spéciale qui ressemble à BPF (Berkeley Packet Filters).
Principales nouveautés de Nftables 1.0.7
Dans cette nouvelle version issue de nftables 1.0.7, pour le Systèmes de noyau Linux 6.2+, ajoutée prise en charge de la correspondance des protocoles vxlan, geneve, gre et gretap, qui permet à des expressions simples de vérifier les en-têtes dans les paquets encapsulés.
Par exemple, pour vérifier l'adresse IP dans l'en-tête d'un paquet VxLAN imbriqué, vous pouvez désormais utiliser des règles (sans avoir besoin de désencapsuler d'abord l'en-tête VxLAN et de lier le filtre à l'interface vxlan0) :
En plus de cela, il est également souligné queet implémenté un support pour la fusion automatique des résidus après suppression partielle d'un élément de la liste de configuration, permettant de supprimer un élément ou une partie de gamme d'une gamme existante (auparavant, une gamme ne pouvait être supprimée que dans son intégralité).
Par exemple, après avoir supprimé l'élément 25 d'une liste définie avec les plages 24-30 et 40-50, 24, 26-30 et 40-50 resteront dans la liste. Les correctifs requis pour que la fusion automatique fonctionne seront fournis dans les versions de correctifs des branches stables du noyau 5.10+.
Il est également noté qu'il a été ajouté prise en charge de l'expression "dernier", qui permet de connaître la dernière fois que l'élément de la règle ou de la liste de configuration a été utilisé. Cette fonctionnalité est prise en charge depuis le noyau Linux 5.14.
D'autre part, il est également souligné que une nouvelle commande "destroy" a été ajoutée pour supprimer des objets sans condition (contrairement à la commande de suppression, elle ne déclenche pas ENOENT lors de la tentative de suppression d'un objet manquant). Il nécessite au moins le noyau Linux 6.3-rc pour fonctionner.
- L'utilisation de constantes dans les set-lists est autorisée. Par exemple, en utilisant une liste de l'adresse de destination et de l'ID de VLAN comme clé, vous pouvez spécifier directement le numéro de VLAN (daddr . 123) :
- Ajout de la possibilité de définir des quotas sur les listes de configuration. Par exemple, pour définir un quota de trafic pour chaque adresse IP de destination, vous pouvez spécifier .
- Autoriser l'utilisation des contacts et des plages dans le mappage de traduction d'adresses (NAT).
Enfin pour ceux qui souhaitent en savoir plus À propos de cette nouvelle version, vous pouvez vérifier les détails dans le lien suivant.
Comment installer la nouvelle version de nftables 1.0.7?
Pour ceux qui souhaitent pouvoir obtenir la nouvelle version de nftables 1.0.7 pour le moment seul le code source peut être compilé sur votre système. Bien que dans quelques jours, les paquets binaires déjà compilés seront disponibles dans les différentes distributions Linux.
Pour compiler, vous devez avoir les dépendances suivantes installées:
Ceux-ci peuvent être compilés avec:
./autogen.sh ./configure make make install
Et pour nftables 1.0.5, nous le téléchargeons depuis le lien suivant. Et la compilation se fait avec les commandes suivantes:
cd nftables ./autogen.sh ./configure make make install