Pár napja Bejelentették az "nftables 0.9.4" csomagszűrő új verziójának bevezetésétHogy iptables, ip6table, arptable és ebtable helyettesítésére fejlesztették ki az IPv4, IPv6, ARP és hálózati hidak csomagszűrő interfészeinek egyesítése miatt.
Az nftables csomag tartalmazza a felhasználói térben működő csomagszűrő komponenseket, míg a rendszermag szintjén az nf_tables alrendszer biztosítja a Linux kernel egy részét a 3.13 verzió óta.
Csak magszinten protokolltól független közös felületet biztosít specifikus és biztosítja a alapvető funkciók adatok kibontása csomagokból, adatműveletek végrehajtása és az áramlás irányítása.
az közvetlen szűrési szabályok és protokoll-specifikus illesztőprogramok a felhasználói térben bájtkóddá állítják össze, majd ezt a bytecode-ot a Netlink interfész segítségével betölti a kernelbe, és a kernelben végrehajtja egy speciális virtuális gépben, amely hasonlít a BPF-re (Berkeley Packet Filters).
Egy ilyen megközelítés jelentősen csökkentheti a rendszermag szintjén működő szűrőkód méretét, és kiküszöböli a felhasználói tér protokolljaival való munka szabályainak és logikájának elemzésének összes funkcióját.
Az Nftables 0.9.4 fő újdonságai
Minden szükséges változtatás az nftable 0.9.4 verzió működéséhez ágába tartoznak Linux kernel 5.6 és benne az tartományok támogatása kombinációkban "Összekapcsolás, konkrét címek és portcsomagok, amelyek egyszerűsítik a kiosztást."
Például egy olyan "engedélyezőlisták" halmaza esetében, amelyek elemei kombinációk, a "tartomány" mutató specifikációja azt jelzi, hogy a halmaz tartalmazhat tartományokat az unióban.
Hozzáadva a csatlakozások NAT-linkeken történő használatához, amely lehetővé teszi a cím és a port megadását a NAT-transzformációk térképlisták vagy megnevezett halmazok alapján történő meghatározásakor.
Ezen felül a a hardveres gyorsítás támogatása néhány szűrési művelet eltávolításával. Gyorsulás az ethtool segédprogramon keresztül engedélyezett ("ethtool -K eth0 hw-tc-offload be"), Amely után az" offload "zászló segítségével nftable-kat indít a fő lánc számára.
Az 5.6 Linux kernel használatakor a hardveres gyorsítás támogatotte, hogy megfeleljen a fejléc mezõinek, és ellenõrizze a bejövõ felületet fogadási, dobási, duplikációs (dup) és továbbítási csomagokkal (fwd) kombinálva.
A térképek halmazaiban és listáiban lehetőség van a "typeof" irányelv használatára, amely meghatározza az elem formátumát az egyezés során.
A többi változás közül amelyek kiemelkednek ebből a verzióból:
- Továbbfejlesztett jelentés a hibák helyéről a szabályokban.
- Hozzáadott támogatás a szolga felület ellenőrzéséhez a specifikációval "Meta sdif" vagy «meta sdif név«
- Támogatás a jobbra vagy balra görgetéshez. Például, ha a meglévő csomag címkéjét 1 bittel balra változtatja, és a legkisebb bitet 1-re állítja.
- Megvalósult "-V" opció az információk megjelenítéséhez. A parancssori opciókat most meg kell adni a parancsok előtt. Például meg kell adnia a «nft -a lista szabálykészlet»És hajtsa végre«nft lista szabálykészlet -a»Hibát generál.
Hogyan telepítsük az nftables 0.9.4 új verzióját?
Azok számára, akik érdekeltek abban, hogy megszerezzék az nftable 0.9.4 új verzióját jelenleg csak a forráskód állítható össze a rendszerén. Bár a napokban a már összeállított bináris csomagok elérhetőek lesznek a különböző Linux disztribúciókban.
A fordításhoz a következő függőségeket kell telepíteni:
Ezek összeállíthatók:
./autogen.sh
./configure
make
make install
Az nftable 0.9.4-hoz pedig letöltjük a következő link. És az összeállítás a következő parancsokkal történik:
cd nftables
./autogen.sh
./configure
make
make install