nftables è un progetto che fornisce il filtraggio dei pacchetti e la classificazione dei pacchetti su Linux
È stato pubblicato il rilascio del packet filter nftables 1.0.7, che presenta alcuni miglioramenti, correzioni e alcune nuove funzionalità.
Per chi non ha familiarità con nftables, dovresti sapere che questo unifica le interfacce di filtraggio dei pacchetti per IPv4, IPv6, ARP e bridging di rete (destinato a sostituire iptables, ip6table, arptables ed ebtables). Allo stesso tempo, è stata rilasciata la libreria complementare libnftnl 1.2.3, che fornisce un'API di basso livello per l'interfaccia con il sottosistema nf_tables.
Il pacchetto nftables include componenti del filtro di pacchetto che funzionano nello spazio utente, mentre a livello di kernel, il sottosistema nf_tables fornisce una parte del kernel Linux dalla versione 3.13.
Solo a livello di base fornisce un'interfaccia comune indipendente da un protocollo specifica e fornisce il Funzioni base estrarre i dati dai pacchetti, eseguire operazioni sui dati e controllare il flusso.
Le regole di filtraggio diretto e driver specifici del protocollo vengono compilati in un bytecode nello spazio utente, dopodiché questo bytecode viene caricato nel kernel utilizzando l'interfaccia Netlink ed eseguito nel kernel in una speciale macchina virtuale che assomiglia a BPF (Berkeley Packet Filters).
Principali novità di Nftables 1.0.7
In questa nuova versione che deriva da nftables 1.0.7, per il Sistemi kernel Linux 6.2+, aggiunto supporto per la corrispondenza dei protocolli vxlan, geneve, gre e gretap, che consente a semplici espressioni di controllare le intestazioni nei pacchetti incapsulati.
Ad esempio, per controllare l'indirizzo IP nell'intestazione di un pacchetto VxLAN nidificato, è ora possibile utilizzare le regole (senza la necessità di deincapsulare prima l'intestazione VxLAN e associare il filtro all'interfaccia vxlan0):
Oltre a questo, si evidenzia anche chee implementato il supporto per l'unione automatica dei residui dopo la rimozione parziale di un elemento dall'elenco di configurazione, consentendo di rimuovere un elemento o parte di un intervallo da un intervallo esistente (in precedenza, un intervallo poteva essere rimosso solo nella sua interezza).
Ad esempio, dopo aver rimosso l'elemento 25 da un elenco impostato con gli intervalli 24-30 e 40-50, 24, 26-30 e 40-50 rimarranno nell'elenco. Le correzioni necessarie per il funzionamento dell'unione automatica verranno fornite nelle versioni patch dei rami del kernel stabile 5.10+.
Si segnala inoltre che è stato aggiunto supporto per l'espressione "ultimo", che permette di conoscere l'ultima volta che è stato utilizzato l'elemento della lista di regole o configurazioni. Questa funzionalità è supportata dal kernel Linux 5.14.
D'altra parte, si evidenzia anche che è stato aggiunto un nuovo comando "destroy". per rimuovere gli oggetti incondizionatamente (a differenza del comando remove, non solleva ENOENT quando si tenta di rimuovere un oggetto mancante). Richiede almeno il kernel Linux 6.3-rc per funzionare.
- È consentito l'uso di costanti nelle set-list. Ad esempio, utilizzando un elenco dell'indirizzo di destinazione e dell'ID VLAN come chiave, è possibile specificare direttamente il numero VLAN (daddr . 123):
- Aggiunta la possibilità di definire le quote negli elenchi di configurazione. Ad esempio, per definire una quota di traffico per ogni indirizzo IP di destinazione, puoi specificare .
- Consenti l'utilizzo di contatti e intervalli nella mappatura NAT (Address Translation).
Infine per chi è interessato a saperne di più A proposito di questa nuova versione, puoi controllare i dettagli nel seguente link
Come installare la nuova versione di nftables 1.0.7?
Per coloro che sono interessati a poter ottenere la nuova versione di nftables 1.0.7 al momento può essere compilato solo il codice sorgente sul tuo sistema. Sebbene in pochi giorni i pacchetti binari già compilati saranno disponibili all'interno delle diverse distribuzioni Linux.
Per compilare, è necessario che siano installate le seguenti dipendenze:
Questi possono essere compilati con:
./autogen.sh ./configure make make install
E per nftables 1.0.5 lo scarichiamo da il seguente collegamento. E la compilazione viene eseguita con i seguenti comandi:
cd nftables ./autogen.sh ./configure make make install