nftables adalah proyek yang menyediakan pemfilteran paket dan klasifikasi paket di Linux
Rilis filter paket nftables 1.0.7 telah diterbitkan, yang dilengkapi dengan beberapa peningkatan, koreksi serta beberapa fitur baru.
Bagi mereka yang tidak terbiasa dengan nftables, Anda harus tahu bahwa ini menyatukan antarmuka penyaringan paket untuk IPv4, IPv6, ARP, dan bridging jaringan (dimaksudkan untuk menggantikan iptables, ip6table, arptables, dan ebtables). Pada saat yang sama, library pendamping libnftnl 1.2.3 dirilis, yang menyediakan API tingkat rendah untuk berinteraksi dengan subsistem nf_tables.
Paket nftables termasuk komponen filter paket yang bekerja di ruang pengguna, sedangkan di tingkat kernel, subsistem nf_tables menyediakan bagian dari kernel Linux sejak versi 3.13.
Hanya di tingkat inti menyediakan antarmuka umum yang tidak bergantung pada protokol spesifik dan menyediakan fungsi dasar untuk mengekstrak data dari paket, melakukan operasi data dan mengontrol aliran.
itu aturan pemfilteran langsung dan driver khusus protokol mereka dikompilasi menjadi bytecode di ruang pengguna, setelah itu bytecode ini dimuat ke kernel menggunakan antarmuka Netlink dan dijalankan di kernel dalam mesin virtual khusus yang menyerupai BPF (Berkeley Packet Filters).
Fitur baru utama Nftables 1.0.7
Dalam versi baru ini yang berasal dari nftables 1.0.7, untuk Sistem kernel Linux 6.2+, ditambahkan dukungan untuk pencocokan protokol vxlan, geneve, gre dan gretap, yang memungkinkan ekspresi sederhana untuk memeriksa header dalam paket enkapsulasi.
Misalnya, untuk memeriksa alamat IP di header paket VxLAN bersarang, Anda sekarang dapat menggunakan aturan (tanpa perlu membuka enkapsulasi header VxLAN terlebih dahulu dan mengikat filter ke antarmuka vxlan0):
Selain itu, juga disorot bahwadan mengimplementasikan dukungan untuk penggabungan residu secara otomatis setelah menghapus sebagian item dari daftar konfigurasi, mengizinkan item atau bagian rentang dihapus dari rentang yang ada (sebelumnya, rentang hanya dapat dihapus secara keseluruhan).
Misalnya, setelah menghapus item 25 dari kumpulan daftar dengan rentang 24-30 dan 40-50, 24, 26-30, dan 40-50 akan tetap ada dalam daftar. Perbaikan yang diperlukan agar penggabungan otomatis berfungsi akan disediakan dalam rilis tambalan dari cabang kernel stabil 5.10+.
Juga dicatat bahwa itu ditambahkan dukungan untuk ekspresi "terakhir"Bahwa memungkinkan untuk mengetahui kapan terakhir kali elemen aturan atau daftar konfigurasi digunakan. Fitur ini telah didukung sejak kernel Linux 5.14.
Di sisi lain, juga disorot bahwa perintah "hancurkan" baru telah ditambahkan untuk menghapus objek tanpa syarat (tidak seperti perintah hapus, ini tidak memunculkan ENOENT saat mencoba menghapus objek yang hilang). Ini membutuhkan setidaknya kernel Linux 6.3-rc untuk bekerja.
- Penggunaan konstanta dalam daftar-set diperbolehkan. Misalnya, dengan menggunakan daftar alamat tujuan dan ID VLAN sebagai kuncinya, Anda dapat langsung menentukan nomor VLAN (daddr .123):
- Menambahkan kemampuan untuk menentukan kuota pada daftar konfigurasi. Misalnya, untuk menentukan kuota lalu lintas untuk setiap alamat IP tujuan, Anda dapat menentukan .
- Izinkan kontak dan rentang untuk digunakan dalam pemetaan terjemahan alamat (NAT).
Akhirnya bagi mereka yang tertarik untuk mengetahui lebih banyak tentangnya Tentang versi baru ini, Anda dapat memeriksa detailnya Di tautan berikut.
Bagaimana cara menginstal versi baru nftables 1.0.7?
Bagi yang tertarik untuk bisa mendapatkan nftables versi baru 1.0.7 saat ini hanya kode sumber yang dapat dikompilasi di sistem Anda. Meskipun dalam hitungan hari, paket biner yang sudah dikompilasi akan tersedia dalam distribusi Linux yang berbeda.
Untuk mengompilasi, Anda harus menginstal dependensi berikut:
Ini dapat dikompilasi dengan:
./autogen.sh ./configure make make install
Dan untuk nftables 1.0.5 kami mendownloadnya dari link berikut. Dan kompilasi dilakukan dengan perintah berikut:
cd nftables ./autogen.sh ./configure make make install