nemrég elindítása a csomagszűrő új verziója nftables 1.0.5, egy olyan verzió, amelyben a legtöbb hibajavítás megtörtént, de amely néhány új funkcióval, támogatási fejlesztésekkel és még sok mással is rendelkezik.
Azok számára, akik nem ismerik az nftable-t, tudniuk kell, hogy ez egységesíti az IPv4 csomagszűrő interfészeit, IPv6, ARP és hálózati áthidalás (az iptables, ip6table, arptables és ebtables helyettesítésére szolgál). Ezzel egy időben megjelent a libnftnl 1.2.3 kísérőkönyvtár, amely alacsony szintű API-t biztosít az nf_tables alrendszerrel való interfészhez.
Az nftables csomag tartalmazza a felhasználói térben működő csomagszűrő komponenseket, míg a rendszermag szintjén az nf_tables alrendszer biztosítja a Linux kernel egy részét a 3.13 verzió óta.
Csak magszinten protokolltól független közös felületet biztosít specifikus és biztosítja a alapvető funkciók adatok kibontása csomagokból, adatműveletek végrehajtása és az áramlás irányítása.
az közvetlen szűrési szabályok és protokoll-specifikus illesztőprogramok a felhasználói térben bájtkóddá állítják össze, majd ezt a bytecode-ot a Netlink interfész segítségével betölti a kernelbe, és a kernelben végrehajtja egy speciális virtuális gépben, amely hasonlít a BPF-re (Berkeley Packet Filters).
Egy ilyen megközelítés jelentősen csökkentheti a rendszermag szintjén működő szűrőkód méretét, és kiküszöböli a felhasználói tér protokolljaival való munka szabályainak és logikájának elemzésének összes funkcióját.
Az Nftables 1.0.5 fő újdonságai
Ebben a bemutatott új verzióban kiemelik, hogy a szabályoptimalizáló a „-o/–optimize” opció megadásával hívható meg, a problémákat a szabályok kombinációja oldja meg, térképek és konfigurációs listák.
Az új változatban kiemelkedő másik változás az az ethernet és a vlan elemeinek kombinálásávalIs egy dinamikus konfigurációs lista definícióját adja meg, amely a csomagútvonal paraméterei alapján van kitöltve.
Amellett, hogy, A vonalzó kijelzőjét beállították Az interfésznevekben maszkokat tartalmazó térképlistákkal, valamint a helyes szabályok helytelen lexikális elemzéséhez vezető visszakapcsolókkal eltávolították.
Másrészt megemlítik azt a lassú rendereléssel és az automatikus egyesítéssel kapcsolatos problémák kijavítva nagy listák értéktartományokat meghatározó elemekkel, valamint egy összeomlás, amikor elemeket adnak hozzá egy helytelen halmazlistához, kijavított több regressziót a bemeneti lexerben, amelyek megszegték az érvényes szabálykészleteket, és kijavították a lassulást az egyszemélyes tartományelemek nagy listáival.
A többi változás közül amelyek kiemelkednek ebből az új verzióból:
- Hamis hibajelentés javítása a pontos fedvényekhez.
- Javítsa ki a szegmentálási hibát, amikor elemeket ad hozzá egy érvénytelen készlethez.
- Javítsa ki az eszközelemzést a netdev családban a JSON-ban.
- Javítva az összeomlás, amikor egy üres halmazban lévő elemet próbáltak törölni
- DF, LE PHB, VA támogatás hozzáadva a DSCP-hez
- Hozzáadott támogatás az osf kifejezéshez, az xfrm kifejezéshez, a fib kifejezéshez, a binop kifejezéshez, a numgen kifejezéshez és a hash kifejezéshez.
- A hiányzó synproxy hatókör lezárása hozzáadva
Végül azok számára, akik többet szeretnének tudni róla Az új verzióról ellenőrizheti a részleteket A következő linken.
Hogyan telepítsük az nftables 1.0.5 új verzióját?
Azoknak, akik érdeklődnek az nftables 1.0.5 új verziójának beszerzése iránt jelenleg csak a forráskód állítható össze a rendszerén. Bár a napokban a már összeállított bináris csomagok elérhetőek lesznek a különböző Linux disztribúciókban.
A fordításhoz a következő függőségeket kell telepíteni:
Ezek összeállíthatók:
./autogen.sh ./configure make make install
Az nftable 1.0.5-hoz pedig letöltjük a következő link. És az összeállítás a következő parancsokkal történik:
cd nftables ./autogen.sh ./configure make make install