nftables je projekt koji omogućuje filtriranje paketa i klasifikaciju paketa na Linuxu
Objavljeno je izdanje filtera paketa nftables 1.0.7, koje dolazi s nekim poboljšanjima, ispravcima kao i nekim novim značajkama.
Za one koji nisu upoznati s nftables, trebali biste znati da ovo objedinjuje sučelja za filtriranje paketa za IPv4, IPv6, ARP i mrežno premošćivanje (namijenjen za zamjenu iptables, ip6table, arptables i ebtables). U isto vrijeme, objavljena je popratna biblioteka libnftnl 1.2.3, koja pruža API niske razine za sučelje s podsustavom nf_tables.
Paket nftables uključuje komponente filtra paketa koje rade u korisničkom prostoru, dok je na razini kernela, podsustav nf_tables pruža dio Linux kernela od verzije 3.13.
Samo na osnovnoj razini pruža zajedničko sučelje neovisno o protokolu specifičan i pruža osnovne funkcije za izdvajanje podataka iz paketa, izvođenje operacija podataka i nadzor protoka.
Las pravila izravnog filtriranja i upravljački programi specifični za protokol oni se kompajliraju u bajt kod u korisničkom prostoru, nakon čega se taj bajt kod učitava u jezgru pomoću sučelja Netlink i izvršava u jezgri u posebnom virtualnom stroju koji sliči BPF-u (Berkeley Packet Filters).
Glavne nove značajke Nftables 1.0.7
U ovoj novoj verziji koja dolazi iz nftables 1.0.7, za Linux 6.2+ kernel sustavi, dodao podrška za podudaranje protokola vxlan, geneve, gre i gretap, koji omogućuje jednostavnim izrazima za provjeru zaglavlja u enkapsuliranim paketima.
Na primjer, za provjeru IP adrese u zaglavlju ugniježđenog VxLAN paketa, sada možete koristiti pravila (bez potrebe da prvo dekapsulirate VxLAN zaglavlje i vežete filtar za vxlan0 sučelje):
Uz to se ističe i dai implementirana podrška za automatsko spajanje ostataka nakon djelomičnog uklanjanja stavke s konfiguracijskog popisa, dopuštajući da se stavka ili dio raspona ukloni iz postojećeg raspona (prije se raspon mogao ukloniti samo u cijelosti).
Na primjer, nakon uklanjanja stavke 25 sa skupa popisa s rasponima 24-30 i 40-50, 24, 26-30 i 40-50 ostat će na popisu. Popravci potrebni za funkcioniranje automatskog spajanja bit će osigurani u izdanjima zakrpa 5.10+ stabilnih grana jezgre.
Također se ističe da je dodan podrška izrazu "zadnji"Da omogućuje saznanje kada je posljednji put korišten element pravila ili konfiguracijske liste. Ova značajka je podržana od Linux kernela 5.14.
S druge strane, također je istaknuto da dodana je nova naredba "uništi". za bezuvjetno uklanjanje objekata (za razliku od naredbe za uklanjanje, ne pokreće ENOENT kada pokušava ukloniti objekt koji nedostaje). Za rad je potrebna najmanje Linux 6.3-rc kernel.
- Dopuštena je uporaba konstanti u set-listama. Na primjer, korištenjem popisa odredišne adrese i VLAN ID-a kao ključa, možete izravno odrediti VLAN broj (daddr . 123):
- Dodana je mogućnost definiranja kvota na konfiguracijskim popisima. Na primjer, da biste definirali kvotu prometa za svaku odredišnu IP adresu, možete navesti .
- Dopusti kontaktima i rasponima koji se koriste u mapiranju prijevoda adresa (NAT).
Konačno za one koje zanima više o tome O ovoj novoj verziji možete provjeriti pojedinosti U sljedećem linku.
Kako instalirati novu verziju nftables 1.0.7?
Za one koji su zainteresirani da mogu nabaviti novu verziju nftables 1.0.7 trenutno se može sastaviti samo izvorni kod na vašem sustavu. Iako će za nekoliko dana već sastavljeni binarni paketi biti dostupni u različitim Linux distribucijama.
Da biste kompilirali, morate imati instalirane sljedeće ovisnosti:
Oni se mogu sastaviti sa:
./autogen.sh ./configure make make install
A za nftables 1.0.5 preuzimamo ga s sljedeći link. A kompilacija se vrši pomoću sljedećih naredbi:
cd nftables ./autogen.sh ./configure make make install